- Accueil
- /
- Article
Guide de déploiement pour la sécurité des données hybrides Webex
Informations nouvelles et modifiées
Date | Modifications effectuées | ||
---|---|---|---|
20 octobre 2023 |
| ||
07 août 2023 |
| ||
23 mai 2023 |
| ||
06 décembre 2022 |
| ||
23 novembre 2022 |
| ||
13 octobre 2021 | Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker. | ||
24 juin 2021 | Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. | ||
30 avril 2021 | Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails. | ||
24 février 2021 | L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails. | ||
2 février 2021 | HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. | ||
11 janvier 2021 | Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS. | ||
13 octobre 2020 | Mise à jour de Télécharger les fichiers d'installation. | ||
8 octobre 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP. | ||
14 août 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion. | ||
5 août 2020 | Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux. Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs. | ||
16 juin 2020 | Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub. | ||
4 juin 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir. | ||
29 mai 2020 | Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. | ||
5 mai 2020 | Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5. | ||
21 avril 2020 | Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas. | ||
1er avril 2020 | Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux. | ||
20 février 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS. | ||
4 février 2020 | Mise à jour des Exigences du serveur proxy. | ||
16 décembre 2019 | Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy. | ||
19 novembre 2019 | Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : | ||
8 novembre 2019 | Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
| ||
6 septembre 2019 | Ajout du standard SQL Server aux exigences du serveur de base de données. | ||
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement. | ||
20 août 2019 | Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex. | ||
13 juin 2019 | Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. | ||
6 mars 2019 |
| ||
28 février 2019 |
| ||
26 février 2019 |
| ||
24 janvier 2019 |
| ||
5 novembre 2018 |
| ||
19 octobre 2018 |
| ||
31 juillet 2018 |
| ||
21 mai 2018 | Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :
| ||
11 avril 2018 |
| ||
22 février 2018 |
| ||
15 février 2018 |
| ||
18 janvier 2018 |
| ||
2 novembre 2017 |
| ||
18 août 2017 | Première publication |
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :
Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.
Collaborer avec d’autres organisations
Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.
Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.
Attentes concernant le déploiement de la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.
La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.
Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS. |
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.
Modèle de déploiement de la sécurité des données hybrides
Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu’un seul cluster par organisation.
Mode d'évaluation de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en attente pour la reprise après sinistre
Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif. |
Configurer le centre de données en attente pour la reprise après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :
Avant de commencer
Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.
| ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
Après la configuration passiveMode
dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode
la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode
configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
HTTP : affiche et contrôle toutes les demandes envoyées par le client.
HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
Type d'authentification—Choisissez parmi les types d'authentification suivants :
Aucun : aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Exemple de nœuds de sécurité des données hybrides et de proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations de proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.
Exigences pour la sécurité des données hybrides
Exigences relatives aux licences Cisco Webex
Pour déployer la sécurité des données hybrides :
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration minimale requise pour Docker Desktop
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Configuration minimale requise | Détails |
---|---|
| Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
| Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production. |
| Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
| Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'organisateur virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.
Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données. |
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) | Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL | Microsoft SQL Server |
---|---|
Pilote Postgres JDBC driver 42.2.5 | Pilote SQL Server JDBC 4.6 Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application | Protocole | Port | Direction de l’application | Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides | TCP | 443 | HTTPS et WSS sortants |
|
Outil de configuration HDS | TCP | 443 | HTTPS sortant |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives. |
Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
Région | URL de l'hôte Common Identity |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Exigences du serveur proxy
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
Proxy transparent : Cisco Web Security Appliance (WSA).
Proxy explicite : Squid.
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket (wss :) les connexions. Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.
Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
Aucune authentification avec HTTP ou HTTPS
Authentification de base avec HTTP ou HTTPS
Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les prérequis pour la sécurité des données hybrides
1 | Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus. | ||
2 | Choisissez un nom de domaine pour votre déploiement HDS (par exemple, | ||
3 | Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel. | ||
4 | Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. | ||
5 | Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. | ||
6 | Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514). | ||
7 | Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.
Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. | ||
8 | Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe. | ||
9 | Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. | ||
10 | Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. | ||
11 | Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé
|
Flux des tâches de déploiement de la sécurité des données hybrides
Avant de commencer
1 | Télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. | ||
2 | Créer une configuration ISO pour les hôtes HDS Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. | ||
3 | Installer le fichier OVA de l'hôte HDS Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.
| ||
4 | Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA. | ||
5 | Télécharger et monter l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. | ||
6 | Configurer le nœud HDS pour l'intégration du proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire. | ||
7 | Enregistrer le premier nœud dans le cluster Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. | ||
8 | Créer et enregistrer d'autres nœuds Terminez la configuration du cluster. | ||
9 | Lancer un essai et passer à la production (chapitre suivant) Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. |
Télécharger les fichiers d'installation
1 | Connectez-vous à https://admin.webex.com, puis cliquez sur Services. | ||||
2 | Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.
| ||||
3 | Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant. Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
| ||||
4 | Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
Identifiants de base de données
Mises à jour des certificats
Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
1 | Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
2 | Pour vous connecter au registre des images Docker, saisissez ce qui suit :
| ||||||||||||
3 | À l'invite du mot de passe, saisissez ce hachage :
| ||||||||||||
4 | Téléchargez la dernière image stable pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
5 | Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche. | ||||||||||||
6 |
Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard. | ||||||||||||
7 | Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||||
8 | Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer. | ||||||||||||
9 | Sur la page Importation ISO, vous avez les options suivantes :
| ||||||||||||
10 | Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.
| ||||||||||||
11 | Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé : | ||||||||||||
12 | Sélectionnez un mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.) | ||||||||||||
13 | Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||||
14 | (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :
| ||||||||||||
15 | Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service. Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||||
16 | Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||||
17 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||||
18 | Pour arrêter l'outil d'installation, tapez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez. |
Installer le fichier OVA de l'hôte HDS
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. | ||||||
2 | Sélectionnez FichierDéployer le modèle OVF… | ||||||
3 | Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. | ||||||
4 | Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. | ||||||
5 | Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent. | ||||||
6 | Vérifiez les détails du modèle, puis cliquez sur Suivant. | ||||||
7 | Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant. | ||||||
8 | Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles. | ||||||
9 | Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle. | ||||||
10 | Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :
Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.
| ||||||
11 | Faites un clic droit sur la MV du nœud, puis choisissez .Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.
1 | Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 | Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur. |
3 | Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration. |
4 | Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
5 | (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
6 | Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte. |
Télécharger et monter l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.
1 | Téléchargez le fichier ISO depuis votre ordinateur : |
2 | Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l'intégration du proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.
Avant de commencer
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
1 | Saisissez l’URL de configuration du nœud HDS |
2 | Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS. |
3 | Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 | Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
5 | Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet. |
6 | Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
7 | Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Connectez-vous à https://admin.webex.com. |
2 | Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
|
4 | Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant. |
5 | Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
6 | Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
7 | Cliquez sur Aller sur le noeud. |
8 | Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
|
9 | Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
10 | Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer d'autres nœuds
À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours. |
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS. |
2 | Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides. |
3 | Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS. |
4 | Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
5 | Enregistrer le nœud. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
|
Que faire ensuite
Flux des tâches d'essai à production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.
Avant de commencer
1 | Le cas échéant, synchronisez le Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le |
2 |
Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 | Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 | Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 | |
6 | Terminez la phase d’essai avec l’une des actions suivantes : |
Activer l’essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup
objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
1 | Connectez-vous à https://admin.webex.com, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
|
4 | Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, |
Tester votre déploiement de sécurité des données hybrides
Avant de commencer
Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.
1 | Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.
| ||
2 | Envoyer des messages au nouvel espace. | ||
3 | Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides. |
Surveiller la santé de la sécurité des données hybrides
1 | Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
|
3 | Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre essai
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai. |
4 | Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer . |
Passer de l'essai à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Move to Production. |
4 | Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre fin à votre essai sans passer à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Désactiver, cliquez sur Désactiver. |
4 | Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai. |
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
1 | Connectez-vous au Control Hub. |
2 | Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 | Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 | Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 | Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter. |
Modifier la configuration du nœud
Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.
Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
Création d'une nouvelle configuration pour préparer un nouveau centre de données.
Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :
Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.
1 | En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 | Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds. |
3 | Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 | répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.
Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.
Avant de commencer
1 | Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion. |
2 | Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui . |
3 | Rendez-vous sur la page Trust Store & Proxy. |
4 | Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non. |
Que faire ensuite
Supprimer un nœud
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle. |
2 | Supprimer le nœud : |
3 | Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.) Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Récupération après sinistre à l'aide du centre de données en attente
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. | ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 | Arrêtez l'un de vos nœuds HDS. |
2 | Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
3 | Choisissez Fichier ISO Datastore. et décocher |
4 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
5 | Répétez l'opération pour chaque nœud HDS. |
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte | Action |
---|---|
Échec de l'accès à la base de données locale. |
Vérifiez les erreurs de base de données ou les problèmes de réseau local. |
Échec de connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud. |
Échec de l’accès au service Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l’inscription au service cloud. |
L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours. |
L’enregistrement du service Cloud a été abandonné. |
L’inscription aux services du Cloud a pris fin. Le service s'arrête. |
Le service n'est pas encore activé. |
Activez un essai ou terminez le déplacement de l'essai en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale. |
Échec de l’authentification aux services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service. |
Impossible d’ouvrir le fichier du magasin de clés local. |
Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier les mesures. |
Vérifiez l’accès du réseau local aux services de cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès. |
Dépannage de la sécurité des données hybrides
1 | Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. |
2 | Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides. |
3 | Contactez l’assistance Cisco. |
Problèmes connus pour la sécurité des données hybrides
Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 | Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
2 | Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 | Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé
|
4 | Créez le fichier .p12 avec le nom convivial
|
5 | Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12
et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire. |
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte des métriques sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud
Configurer des proxys Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via le proxy Squid
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:
) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss:
le trafic pour le bon fonctionnement des services.
Calamars 4 et 5
Ajouter le on_unsupported_protocol
directive à squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf
. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informations nouvelles et modifiées
Date | Modifications effectuées | ||
---|---|---|---|
20 octobre 2023 |
| ||
07 août 2023 |
| ||
23 mai 2023 |
| ||
06 décembre 2022 |
| ||
23 novembre 2022 |
| ||
13 octobre 2021 | Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker. | ||
24 juin 2021 | Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. | ||
30 avril 2021 | Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails. | ||
24 février 2021 | L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails. | ||
2 février 2021 | HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. | ||
11 janvier 2021 | Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS. | ||
13 octobre 2020 | Mise à jour de Télécharger les fichiers d'installation. | ||
8 octobre 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP. | ||
14 août 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion. | ||
5 août 2020 | Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux. Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs. | ||
16 juin 2020 | Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub. | ||
4 juin 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir. | ||
29 mai 2020 | Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. | ||
5 mai 2020 | Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5. | ||
21 avril 2020 | Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas. | ||
1er avril 2020 | Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux. | ||
20 février 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS. | ||
4 février 2020 | Mise à jour des Exigences du serveur proxy. | ||
16 décembre 2019 | Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy. | ||
19 novembre 2019 | Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : | ||
8 novembre 2019 | Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
| ||
6 septembre 2019 | Ajout du standard SQL Server aux exigences du serveur de base de données. | ||
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement. | ||
20 août 2019 | Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex. | ||
13 juin 2019 | Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. | ||
6 mars 2019 |
| ||
28 février 2019 |
| ||
26 février 2019 |
| ||
24 janvier 2019 |
| ||
5 novembre 2018 |
| ||
19 octobre 2018 |
| ||
31 juillet 2018 |
| ||
21 mai 2018 | Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :
| ||
11 avril 2018 |
| ||
22 février 2018 |
| ||
15 février 2018 |
| ||
18 janvier 2018 |
| ||
2 novembre 2017 |
| ||
18 août 2017 | Première publication |
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :
Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.
Collaborer avec d’autres organisations
Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.
Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.
Attentes concernant le déploiement de la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.
La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.
Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS. |
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.
Modèle de déploiement de la sécurité des données hybrides
Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu’un seul cluster par organisation.
Mode d'évaluation de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en attente pour la reprise après sinistre
Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif. |
Configurer le centre de données en attente pour la reprise après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :
Avant de commencer
Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.
| ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
Après la configuration passiveMode
dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode
la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode
configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
HTTP : affiche et contrôle toutes les demandes envoyées par le client.
HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
Type d'authentification—Choisissez parmi les types d'authentification suivants :
Aucun : aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Exemple de nœuds de sécurité des données hybrides et de proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations de proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.
Exigences pour la sécurité des données hybrides
Exigences relatives aux licences Cisco Webex
Pour déployer la sécurité des données hybrides :
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration minimale requise pour Docker Desktop
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Configuration minimale requise | Détails |
---|---|
| Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
| Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production. |
| Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
| Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'organisateur virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.
Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données. |
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) | Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL | Microsoft SQL Server |
---|---|
Pilote Postgres JDBC driver 42.2.5 | Pilote SQL Server JDBC 4.6 Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application | Protocole | Port | Direction de l’application | Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides | TCP | 443 | HTTPS et WSS sortants |
|
Outil de configuration HDS | TCP | 443 | HTTPS sortant |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives. |
Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
Région | URL de l'hôte Common Identity |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Exigences du serveur proxy
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
Proxy transparent : Cisco Web Security Appliance (WSA).
Proxy explicite : Squid.
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket (wss :) les connexions. Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.
Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
Aucune authentification avec HTTP ou HTTPS
Authentification de base avec HTTP ou HTTPS
Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les prérequis pour la sécurité des données hybrides
1 | Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus. | ||
2 | Choisissez un nom de domaine pour votre déploiement HDS (par exemple, | ||
3 | Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel. | ||
4 | Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. | ||
5 | Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. | ||
6 | Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514). | ||
7 | Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.
Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. | ||
8 | Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe. | ||
9 | Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. | ||
10 | Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. | ||
11 | Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé
|
Flux des tâches de déploiement de la sécurité des données hybrides
Avant de commencer
1 | Télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. | ||
2 | Créer une configuration ISO pour les hôtes HDS Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. | ||
3 | Installer le fichier OVA de l'hôte HDS Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.
| ||
4 | Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA. | ||
5 | Télécharger et monter l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. | ||
6 | Configurer le nœud HDS pour l'intégration du proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire. | ||
7 | Enregistrer le premier nœud dans le cluster Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. | ||
8 | Créer et enregistrer d'autres nœuds Terminez la configuration du cluster. | ||
9 | Lancer un essai et passer à la production (chapitre suivant) Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. |
Télécharger les fichiers d'installation
1 | Connectez-vous à https://admin.webex.com, puis cliquez sur Services. | ||||
2 | Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.
| ||||
3 | Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant. Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
| ||||
4 | Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
Identifiants de base de données
Mises à jour des certificats
Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
1 | Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
2 | Pour vous connecter au registre des images Docker, saisissez ce qui suit :
| ||||||||||||
3 | À l'invite du mot de passe, saisissez ce hachage :
| ||||||||||||
4 | Téléchargez la dernière image stable pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
5 | Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche. | ||||||||||||
6 |
Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard. | ||||||||||||
7 | Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||||
8 | Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer. | ||||||||||||
9 | Sur la page Importation ISO, vous avez les options suivantes :
| ||||||||||||
10 | Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.
| ||||||||||||
11 | Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé : | ||||||||||||
12 | Sélectionnez un mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.) | ||||||||||||
13 | Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||||
14 | (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :
| ||||||||||||
15 | Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service. Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||||
16 | Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||||
17 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||||
18 | Pour arrêter l'outil d'installation, tapez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez. |
Installer le fichier OVA de l'hôte HDS
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. | ||||||
2 | Sélectionnez FichierDéployer le modèle OVF… | ||||||
3 | Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. | ||||||
4 | Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. | ||||||
5 | Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent. | ||||||
6 | Vérifiez les détails du modèle, puis cliquez sur Suivant. | ||||||
7 | Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant. | ||||||
8 | Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles. | ||||||
9 | Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle. | ||||||
10 | Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :
Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.
| ||||||
11 | Faites un clic droit sur la MV du nœud, puis choisissez .Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.
1 | Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 | Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur. |
3 | Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration. |
4 | Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
5 | (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
6 | Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte. |
Télécharger et monter l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.
1 | Téléchargez le fichier ISO depuis votre ordinateur : |
2 | Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l'intégration du proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.
Avant de commencer
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
1 | Saisissez l’URL de configuration du nœud HDS |
2 | Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS. |
3 | Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 | Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
5 | Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet. |
6 | Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
7 | Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Connectez-vous à https://admin.webex.com. |
2 | Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
|
4 | Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant. |
5 | Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
6 | Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
7 | Cliquez sur Aller sur le noeud. |
8 | Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
|
9 | Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
10 | Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer d'autres nœuds
À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours. |
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS. |
2 | Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides. |
3 | Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS. |
4 | Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
5 | Enregistrer le nœud. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
|
Que faire ensuite
Flux des tâches d'essai à production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.
Avant de commencer
1 | Le cas échéant, synchronisez le Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le |
2 |
Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 | Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 | Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 | |
6 | Terminez la phase d’essai avec l’une des actions suivantes : |
Activer l’essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup
objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
1 | Connectez-vous à https://admin.webex.com, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
|
4 | Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, |
Tester votre déploiement de sécurité des données hybrides
Avant de commencer
Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.
1 | Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.
| ||
2 | Envoyer des messages au nouvel espace. | ||
3 | Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides. |
Surveiller la santé de la sécurité des données hybrides
1 | Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
|
3 | Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre essai
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai. |
4 | Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer . |
Passer de l'essai à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Move to Production. |
4 | Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre fin à votre essai sans passer à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Désactiver, cliquez sur Désactiver. |
4 | Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai. |
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
1 | Connectez-vous au Control Hub. |
2 | Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 | Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 | Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 | Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter. |
Modifier la configuration du nœud
Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.
Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
Création d'une nouvelle configuration pour préparer un nouveau centre de données.
Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :
Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.
1 | En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 | Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds. |
3 | Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 | répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.
Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.
Avant de commencer
1 | Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion. |
2 | Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui . |
3 | Rendez-vous sur la page Trust Store & Proxy. |
4 | Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non. |
Que faire ensuite
Supprimer un nœud
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle. |
2 | Supprimer le nœud : |
3 | Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.) Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Récupération après sinistre à l'aide du centre de données en attente
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. | ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 | Arrêtez l'un de vos nœuds HDS. |
2 | Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
3 | Choisissez Fichier ISO Datastore. et décocher |
4 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
5 | Répétez l'opération pour chaque nœud HDS. |
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte | Action |
---|---|
Échec de l'accès à la base de données locale. |
Vérifiez les erreurs de base de données ou les problèmes de réseau local. |
Échec de connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud. |
Échec de l’accès au service Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l’inscription au service cloud. |
L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours. |
L’enregistrement du service Cloud a été abandonné. |
L’inscription aux services du Cloud a pris fin. Le service s'arrête. |
Le service n'est pas encore activé. |
Activez un essai ou terminez le déplacement de l'essai en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale. |
Échec de l’authentification aux services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service. |
Impossible d’ouvrir le fichier du magasin de clés local. |
Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier les mesures. |
Vérifiez l’accès du réseau local aux services de cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès. |
Dépannage de la sécurité des données hybrides
1 | Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. |
2 | Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides. |
3 | Contactez l’assistance Cisco. |
Problèmes connus pour la sécurité des données hybrides
Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 | Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
2 | Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 | Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé
|
4 | Créez le fichier .p12 avec le nom convivial
|
5 | Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12
et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire. |
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte des métriques sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud
Configurer des proxys Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via le proxy Squid
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:
) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss:
le trafic pour le bon fonctionnement des services.
Calamars 4 et 5
Ajouter le on_unsupported_protocol
directive à squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf
. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informations nouvelles et modifiées
Date | Modifications effectuées | ||
---|---|---|---|
20 octobre 2023 |
| ||
07 août 2023 |
| ||
23 mai 2023 |
| ||
06 décembre 2022 |
| ||
23 novembre 2022 |
| ||
13 octobre 2021 | Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker. | ||
24 juin 2021 | Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. | ||
30 avril 2021 | Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails. | ||
24 février 2021 | L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails. | ||
2 février 2021 | HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. | ||
11 janvier 2021 | Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS. | ||
13 octobre 2020 | Mise à jour de Télécharger les fichiers d'installation. | ||
8 octobre 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP. | ||
14 août 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion. | ||
5 août 2020 | Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux. Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs. | ||
16 juin 2020 | Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub. | ||
4 juin 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir. | ||
29 mai 2020 | Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. | ||
5 mai 2020 | Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5. | ||
21 avril 2020 | Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas. | ||
1er avril 2020 | Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux. | ||
20 février 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS. | ||
4 février 2020 | Mise à jour des Exigences du serveur proxy. | ||
16 décembre 2019 | Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy. | ||
19 novembre 2019 | Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : | ||
8 novembre 2019 | Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
| ||
6 septembre 2019 | Ajout du standard SQL Server aux exigences du serveur de base de données. | ||
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement. | ||
20 août 2019 | Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex. | ||
13 juin 2019 | Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. | ||
6 mars 2019 |
| ||
28 février 2019 |
| ||
26 février 2019 |
| ||
24 janvier 2019 |
| ||
5 novembre 2018 |
| ||
19 octobre 2018 |
| ||
31 juillet 2018 |
| ||
21 mai 2018 | Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :
| ||
11 avril 2018 |
| ||
22 février 2018 |
| ||
15 février 2018 |
| ||
18 janvier 2018 |
| ||
2 novembre 2017 |
| ||
18 août 2017 | Première publication |
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :
Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.
Collaborer avec d’autres organisations
Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.
Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.
Attentes concernant le déploiement de la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.
La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.
Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS. |
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.
Modèle de déploiement de la sécurité des données hybrides
Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu’un seul cluster par organisation.
Mode d'évaluation de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en attente pour la reprise après sinistre
Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif. |
Configurer le centre de données en attente pour la reprise après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :
Avant de commencer
Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.
| ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
Après la configuration passiveMode
dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode
la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode
configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
HTTP : affiche et contrôle toutes les demandes envoyées par le client.
HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
Type d'authentification—Choisissez parmi les types d'authentification suivants :
Aucun : aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Exemple de nœuds de sécurité des données hybrides et de proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations de proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.
Exigences pour la sécurité des données hybrides
Exigences relatives aux licences Cisco Webex
Pour déployer la sécurité des données hybrides :
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration minimale requise pour Docker Desktop
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Configuration minimale requise | Détails |
---|---|
| Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
| Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production. |
| Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
| Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'organisateur virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.
Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données. |
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) | Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL | Microsoft SQL Server |
---|---|
Pilote Postgres JDBC driver 42.2.5 | Pilote SQL Server JDBC 4.6 Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application | Protocole | Port | Direction de l’application | Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides | TCP | 443 | HTTPS et WSS sortants |
|
Outil de configuration HDS | TCP | 443 | HTTPS sortant |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives. |
Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
Région | URL de l'hôte Common Identity |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Exigences du serveur proxy
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
Proxy transparent : Cisco Web Security Appliance (WSA).
Proxy explicite : Squid.
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket (wss :) les connexions. Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.
Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
Aucune authentification avec HTTP ou HTTPS
Authentification de base avec HTTP ou HTTPS
Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les prérequis pour la sécurité des données hybrides
1 | Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus. | ||
2 | Choisissez un nom de domaine pour votre déploiement HDS (par exemple, | ||
3 | Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel. | ||
4 | Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. | ||
5 | Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. | ||
6 | Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514). | ||
7 | Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.
Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. | ||
8 | Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe. | ||
9 | Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. | ||
10 | Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. | ||
11 | Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé
|
Flux des tâches de déploiement de la sécurité des données hybrides
Avant de commencer
1 | Télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. | ||
2 | Créer une configuration ISO pour les hôtes HDS Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. | ||
3 | Installer le fichier OVA de l'hôte HDS Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.
| ||
4 | Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA. | ||
5 | Télécharger et monter l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. | ||
6 | Configurer le nœud HDS pour l'intégration du proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire. | ||
7 | Enregistrer le premier nœud dans le cluster Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. | ||
8 | Créer et enregistrer d'autres nœuds Terminez la configuration du cluster. | ||
9 | Lancer un essai et passer à la production (chapitre suivant) Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. |
Télécharger les fichiers d'installation
1 | Connectez-vous à https://admin.webex.com, puis cliquez sur Services. | ||||
2 | Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.
| ||||
3 | Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant. Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
| ||||
4 | Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
Identifiants de base de données
Mises à jour des certificats
Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
1 | Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
2 | Pour vous connecter au registre des images Docker, saisissez ce qui suit :
| ||||||||||||
3 | À l'invite du mot de passe, saisissez ce hachage :
| ||||||||||||
4 | Téléchargez la dernière image stable pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
5 | Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche. | ||||||||||||
6 |
Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard. | ||||||||||||
7 | Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||||
8 | Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer. | ||||||||||||
9 | Sur la page Importation ISO, vous avez les options suivantes :
| ||||||||||||
10 | Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.
| ||||||||||||
11 | Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé : | ||||||||||||
12 | Sélectionnez un mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.) | ||||||||||||
13 | Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||||
14 | (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :
| ||||||||||||
15 | Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service. Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||||
16 | Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||||
17 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||||
18 | Pour arrêter l'outil d'installation, tapez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez. |
Installer le fichier OVA de l'hôte HDS
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. | ||||||
2 | Sélectionnez FichierDéployer le modèle OVF… | ||||||
3 | Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. | ||||||
4 | Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. | ||||||
5 | Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent. | ||||||
6 | Vérifiez les détails du modèle, puis cliquez sur Suivant. | ||||||
7 | Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant. | ||||||
8 | Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles. | ||||||
9 | Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle. | ||||||
10 | Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :
Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.
| ||||||
11 | Faites un clic droit sur la MV du nœud, puis choisissez .Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.
1 | Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 | Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur. |
3 | Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration. |
4 | Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
5 | (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
6 | Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte. |
Télécharger et monter l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.
1 | Téléchargez le fichier ISO depuis votre ordinateur : |
2 | Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l'intégration du proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.
Avant de commencer
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
1 | Saisissez l’URL de configuration du nœud HDS |
2 | Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS. |
3 | Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 | Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
5 | Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet. |
6 | Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
7 | Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Connectez-vous à https://admin.webex.com. |
2 | Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
|
4 | Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant. |
5 | Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
6 | Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
7 | Cliquez sur Aller sur le noeud. |
8 | Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
|
9 | Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
10 | Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer d'autres nœuds
À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours. |
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS. |
2 | Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides. |
3 | Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS. |
4 | Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
5 | Enregistrer le nœud. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
|
Que faire ensuite
Flux des tâches d'essai à production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.
Avant de commencer
1 | Le cas échéant, synchronisez le Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le |
2 |
Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 | Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 | Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 | |
6 | Terminez la phase d’essai avec l’une des actions suivantes : |
Activer l’essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup
objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
1 | Connectez-vous à https://admin.webex.com, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
|
4 | Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, |
Tester votre déploiement de sécurité des données hybrides
Avant de commencer
Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.
1 | Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.
| ||
2 | Envoyer des messages au nouvel espace. | ||
3 | Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides. |
Surveiller la santé de la sécurité des données hybrides
1 | Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
|
3 | Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre essai
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai. |
4 | Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer . |
Passer de l'essai à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Move to Production. |
4 | Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre fin à votre essai sans passer à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Désactiver, cliquez sur Désactiver. |
4 | Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai. |
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
1 | Connectez-vous au Control Hub. |
2 | Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 | Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 | Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 | Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter. |
Modifier la configuration du nœud
Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.
Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
Création d'une nouvelle configuration pour préparer un nouveau centre de données.
Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :
Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.
1 | En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 | Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds. |
3 | Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 | répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.
Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.
Avant de commencer
1 | Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion. |
2 | Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui . |
3 | Rendez-vous sur la page Trust Store & Proxy. |
4 | Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non. |
Que faire ensuite
Supprimer un nœud
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle. |
2 | Supprimer le nœud : |
3 | Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.) Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Récupération après sinistre à l'aide du centre de données en attente
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. | ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 | Arrêtez l'un de vos nœuds HDS. |
2 | Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
3 | Choisissez Fichier ISO Datastore. et décocher |
4 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
5 | Répétez l'opération pour chaque nœud HDS. |
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte | Action |
---|---|
Échec de l'accès à la base de données locale. |
Vérifiez les erreurs de base de données ou les problèmes de réseau local. |
Échec de connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud. |
Échec de l’accès au service Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l’inscription au service cloud. |
L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours. |
L’enregistrement du service Cloud a été abandonné. |
L’inscription aux services du Cloud a pris fin. Le service s'arrête. |
Le service n'est pas encore activé. |
Activez un essai ou terminez le déplacement de l'essai en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale. |
Échec de l’authentification aux services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service. |
Impossible d’ouvrir le fichier du magasin de clés local. |
Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier les mesures. |
Vérifiez l’accès du réseau local aux services de cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès. |
Dépannage de la sécurité des données hybrides
1 | Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. |
2 | Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides. |
3 | Contactez l’assistance Cisco. |
Problèmes connus pour la sécurité des données hybrides
Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 | Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
2 | Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 | Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé
|
4 | Créez le fichier .p12 avec le nom convivial
|
5 | Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12
et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire. |
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte des métriques sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud
Configurer des proxys Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via le proxy Squid
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:
) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss:
le trafic pour le bon fonctionnement des services.
Calamars 4 et 5
Ajouter le on_unsupported_protocol
directive à squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf
. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informations nouvelles et modifiées
Date | Modifications effectuées | ||
---|---|---|---|
20 octobre 2023 |
| ||
07 août 2023 |
| ||
23 mai 2023 |
| ||
06 décembre 2022 |
| ||
23 novembre 2022 |
| ||
13 octobre 2021 | Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker. | ||
24 juin 2021 | Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. | ||
30 avril 2021 | Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails. | ||
24 février 2021 | L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails. | ||
2 février 2021 | HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. | ||
11 janvier 2021 | Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS. | ||
13 octobre 2020 | Mise à jour de Télécharger les fichiers d'installation. | ||
8 octobre 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP. | ||
14 août 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion. | ||
5 août 2020 | Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux. Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs. | ||
16 juin 2020 | Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub. | ||
4 juin 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir. | ||
29 mai 2020 | Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. | ||
5 mai 2020 | Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5. | ||
21 avril 2020 | Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas. | ||
1er avril 2020 | Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux. | ||
20 février 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS. | ||
4 février 2020 | Mise à jour des Exigences du serveur proxy. | ||
16 décembre 2019 | Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy. | ||
19 novembre 2019 | Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : | ||
8 novembre 2019 | Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
| ||
6 septembre 2019 | Ajout du standard SQL Server aux exigences du serveur de base de données. | ||
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement. | ||
20 août 2019 | Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex. | ||
13 juin 2019 | Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. | ||
6 mars 2019 |
| ||
28 février 2019 |
| ||
26 février 2019 |
| ||
24 janvier 2019 |
| ||
5 novembre 2018 |
| ||
19 octobre 2018 |
| ||
31 juillet 2018 |
| ||
21 mai 2018 | Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :
| ||
11 avril 2018 |
| ||
22 février 2018 |
| ||
15 février 2018 |
| ||
18 janvier 2018 |
| ||
2 novembre 2017 |
| ||
18 août 2017 | Première publication |
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :
Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.
Collaborer avec d’autres organisations
Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.
Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.
Attentes concernant le déploiement de la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.
La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.
Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS. |
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.
Modèle de déploiement de la sécurité des données hybrides
Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu’un seul cluster par organisation.
Mode d'évaluation de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en attente pour la reprise après sinistre
Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif. |
Configurer le centre de données en attente pour la reprise après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :
Avant de commencer
Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.
| ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
Après la configuration passiveMode
dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode
la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode
configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
HTTP : affiche et contrôle toutes les demandes envoyées par le client.
HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
Type d'authentification—Choisissez parmi les types d'authentification suivants :
Aucun : aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Exemple de nœuds de sécurité des données hybrides et de proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations de proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.
Exigences pour la sécurité des données hybrides
Exigences relatives aux licences Cisco Webex
Pour déployer la sécurité des données hybrides :
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration minimale requise pour Docker Desktop
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Configuration minimale requise | Détails |
---|---|
| Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
| Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production. |
| Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
| Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'organisateur virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.
Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données. |
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) | Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL | Microsoft SQL Server |
---|---|
Pilote Postgres JDBC driver 42.2.5 | Pilote SQL Server JDBC 4.6 Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application | Protocole | Port | Direction de l’application | Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides | TCP | 443 | HTTPS et WSS sortants |
|
Outil de configuration HDS | TCP | 443 | HTTPS sortant |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives. |
Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
Région | URL de l'hôte Common Identity |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Exigences du serveur proxy
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
Proxy transparent : Cisco Web Security Appliance (WSA).
Proxy explicite : Squid.
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket (wss :) les connexions. Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.
Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
Aucune authentification avec HTTP ou HTTPS
Authentification de base avec HTTP ou HTTPS
Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les prérequis pour la sécurité des données hybrides
1 | Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus. | ||
2 | Choisissez un nom de domaine pour votre déploiement HDS (par exemple, | ||
3 | Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel. | ||
4 | Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. | ||
5 | Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. | ||
6 | Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514). | ||
7 | Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.
Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. | ||
8 | Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe. | ||
9 | Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. | ||
10 | Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. | ||
11 | Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé
|
Flux des tâches de déploiement de la sécurité des données hybrides
Avant de commencer
1 | Télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. | ||
2 | Créer une configuration ISO pour les hôtes HDS Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. | ||
3 | Installer le fichier OVA de l'hôte HDS Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.
| ||
4 | Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA. | ||
5 | Télécharger et monter l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. | ||
6 | Configurer le nœud HDS pour l'intégration du proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire. | ||
7 | Enregistrer le premier nœud dans le cluster Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. | ||
8 | Créer et enregistrer d'autres nœuds Terminez la configuration du cluster. | ||
9 | Lancer un essai et passer à la production (chapitre suivant) Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. |
Télécharger les fichiers d'installation
1 | Connectez-vous à https://admin.webex.com, puis cliquez sur Services. | ||||
2 | Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.
| ||||
3 | Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant. Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
| ||||
4 | Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
Identifiants de base de données
Mises à jour des certificats
Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
1 | Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
2 | Pour vous connecter au registre des images Docker, saisissez ce qui suit :
| ||||||||||||
3 | À l'invite du mot de passe, saisissez ce hachage :
| ||||||||||||
4 | Téléchargez la dernière image stable pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
5 | Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche. | ||||||||||||
6 |
Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard. | ||||||||||||
7 | Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||||
8 | Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer. | ||||||||||||
9 | Sur la page Importation ISO, vous avez les options suivantes :
| ||||||||||||
10 | Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.
| ||||||||||||
11 | Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé : | ||||||||||||
12 | Sélectionnez un mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.) | ||||||||||||
13 | Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||||
14 | (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :
| ||||||||||||
15 | Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service. Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||||
16 | Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||||
17 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||||
18 | Pour arrêter l'outil d'installation, tapez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez. |
Installer le fichier OVA de l'hôte HDS
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. | ||||||
2 | Sélectionnez FichierDéployer le modèle OVF… | ||||||
3 | Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. | ||||||
4 | Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. | ||||||
5 | Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent. | ||||||
6 | Vérifiez les détails du modèle, puis cliquez sur Suivant. | ||||||
7 | Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant. | ||||||
8 | Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles. | ||||||
9 | Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle. | ||||||
10 | Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :
Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.
| ||||||
11 | Faites un clic droit sur la MV du nœud, puis choisissez .Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.
1 | Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 | Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur. |
3 | Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration. |
4 | Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
5 | (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
6 | Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte. |
Télécharger et monter l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.
1 | Téléchargez le fichier ISO depuis votre ordinateur : |
2 | Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l'intégration du proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.
Avant de commencer
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
1 | Saisissez l’URL de configuration du nœud HDS |
2 | Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS. |
3 | Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 | Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
5 | Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet. |
6 | Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
7 | Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Connectez-vous à https://admin.webex.com. |
2 | Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
|
4 | Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant. |
5 | Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
6 | Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
7 | Cliquez sur Aller sur le noeud. |
8 | Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
|
9 | Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
10 | Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer d'autres nœuds
À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours. |
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS. |
2 | Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides. |
3 | Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS. |
4 | Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
5 | Enregistrer le nœud. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
|
Que faire ensuite
Flux des tâches d'essai à production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.
Avant de commencer
1 | Le cas échéant, synchronisez le Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le |
2 |
Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 | Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 | Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 | |
6 | Terminez la phase d’essai avec l’une des actions suivantes : |
Activer l’essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup
objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
1 | Connectez-vous à https://admin.webex.com, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
|
4 | Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, |
Tester votre déploiement de sécurité des données hybrides
Avant de commencer
Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.
1 | Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.
| ||
2 | Envoyer des messages au nouvel espace. | ||
3 | Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides. |
Surveiller la santé de la sécurité des données hybrides
1 | Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
|
3 | Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre essai
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai. |
4 | Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer . |
Passer de l'essai à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Move to Production. |
4 | Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre fin à votre essai sans passer à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Désactiver, cliquez sur Désactiver. |
4 | Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai. |
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
1 | Connectez-vous au Control Hub. |
2 | Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 | Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 | Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 | Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter. |
Modifier la configuration du nœud
Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.
Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
Création d'une nouvelle configuration pour préparer un nouveau centre de données.
Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :
Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.
1 | En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 | Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds. |
3 | Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 | répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.
Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.
Avant de commencer
1 | Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion. |
2 | Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui . |
3 | Rendez-vous sur la page Trust Store & Proxy. |
4 | Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non. |
Que faire ensuite
Supprimer un nœud
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle. |
2 | Supprimer le nœud : |
3 | Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.) Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Récupération après sinistre à l'aide du centre de données en attente
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. | ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 | Arrêtez l'un de vos nœuds HDS. |
2 | Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
3 | Choisissez Fichier ISO Datastore. et décocher |
4 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
5 | Répétez l'opération pour chaque nœud HDS. |
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte | Action |
---|---|
Échec de l'accès à la base de données locale. |
Vérifiez les erreurs de base de données ou les problèmes de réseau local. |
Échec de connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud. |
Échec de l’accès au service Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l’inscription au service cloud. |
L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours. |
L’enregistrement du service Cloud a été abandonné. |
L’inscription aux services du Cloud a pris fin. Le service s'arrête. |
Le service n'est pas encore activé. |
Activez un essai ou terminez le déplacement de l'essai en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale. |
Échec de l’authentification aux services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service. |
Impossible d’ouvrir le fichier du magasin de clés local. |
Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier les mesures. |
Vérifiez l’accès du réseau local aux services de cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès. |
Dépannage de la sécurité des données hybrides
1 | Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. |
2 | Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides. |
3 | Contactez l’assistance Cisco. |
Problèmes connus pour la sécurité des données hybrides
Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 | Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
2 | Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 | Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé
|
4 | Créez le fichier .p12 avec le nom convivial
|
5 | Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12
et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire. |
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte des métriques sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud
Configurer des proxys Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via le proxy Squid
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:
) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss:
le trafic pour le bon fonctionnement des services.
Calamars 4 et 5
Ajouter le on_unsupported_protocol
directive à squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf
. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informations nouvelles et modifiées
Date | Modifications effectuées | ||
---|---|---|---|
20 octobre 2023 |
| ||
07 août 2023 |
| ||
23 mai 2023 |
| ||
06 décembre 2022 |
| ||
23 novembre 2022 |
| ||
13 octobre 2021 | Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker. | ||
24 juin 2021 | Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. | ||
30 avril 2021 | Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails. | ||
24 février 2021 | L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails. | ||
2 février 2021 | HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. | ||
11 janvier 2021 | Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS. | ||
13 octobre 2020 | Mise à jour de Télécharger les fichiers d'installation. | ||
8 octobre 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP. | ||
14 août 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion. | ||
5 août 2020 | Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux. Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs. | ||
16 juin 2020 | Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub. | ||
4 juin 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir. | ||
29 mai 2020 | Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. | ||
5 mai 2020 | Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5. | ||
21 avril 2020 | Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas. | ||
1er avril 2020 | Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux. | ||
20 février 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS. | ||
4 février 2020 | Mise à jour des Exigences du serveur proxy. | ||
16 décembre 2019 | Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy. | ||
19 novembre 2019 | Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : | ||
8 novembre 2019 | Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
| ||
6 septembre 2019 | Ajout du standard SQL Server aux exigences du serveur de base de données. | ||
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement. | ||
20 août 2019 | Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex. | ||
13 juin 2019 | Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. | ||
6 mars 2019 |
| ||
28 février 2019 |
| ||
26 février 2019 |
| ||
24 janvier 2019 |
| ||
5 novembre 2018 |
| ||
19 octobre 2018 |
| ||
31 juillet 2018 |
| ||
21 mai 2018 | Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :
| ||
11 avril 2018 |
| ||
22 février 2018 |
| ||
15 février 2018 |
| ||
18 janvier 2018 |
| ||
2 novembre 2017 |
| ||
18 août 2017 | Première publication |
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :
Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.
Collaborer avec d’autres organisations
Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.
Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.
Attentes concernant le déploiement de la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.
La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.
Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS. |
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.
Modèle de déploiement de la sécurité des données hybrides
Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu’un seul cluster par organisation.
Mode d'évaluation de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en attente pour la reprise après sinistre
Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif. |
Configurer le centre de données en attente pour la reprise après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :
Avant de commencer
Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.
| ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
Après la configuration passiveMode
dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode
la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode
configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
HTTP : affiche et contrôle toutes les demandes envoyées par le client.
HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
Type d'authentification—Choisissez parmi les types d'authentification suivants :
Aucun : aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Exemple de nœuds de sécurité des données hybrides et de proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations de proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.
Exigences pour la sécurité des données hybrides
Exigences relatives aux licences Cisco Webex
Pour déployer la sécurité des données hybrides :
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration minimale requise pour Docker Desktop
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Configuration minimale requise | Détails |
---|---|
| Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
| Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production. |
| Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
| Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'organisateur virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.
Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données. |
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) | Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL | Microsoft SQL Server |
---|---|
Pilote Postgres JDBC driver 42.2.5 | Pilote SQL Server JDBC 4.6 Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application | Protocole | Port | Direction de l’application | Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides | TCP | 443 | HTTPS et WSS sortants |
|
Outil de configuration HDS | TCP | 443 | HTTPS sortant |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives. |
Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
Région | URL de l'hôte Common Identity |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Exigences du serveur proxy
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
Proxy transparent : Cisco Web Security Appliance (WSA).
Proxy explicite : Squid.
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket (wss :) les connexions. Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.
Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
Aucune authentification avec HTTP ou HTTPS
Authentification de base avec HTTP ou HTTPS
Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les prérequis pour la sécurité des données hybrides
1 | Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus. | ||
2 | Choisissez un nom de domaine pour votre déploiement HDS (par exemple, | ||
3 | Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel. | ||
4 | Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. | ||
5 | Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. | ||
6 | Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514). | ||
7 | Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.
Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. | ||
8 | Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe. | ||
9 | Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. | ||
10 | Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. | ||
11 | Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé
|
Flux des tâches de déploiement de la sécurité des données hybrides
Avant de commencer
1 | Télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. | ||
2 | Créer une configuration ISO pour les hôtes HDS Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. | ||
3 | Installer le fichier OVA de l'hôte HDS Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.
| ||
4 | Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA. | ||
5 | Télécharger et monter l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. | ||
6 | Configurer le nœud HDS pour l'intégration du proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire. | ||
7 | Enregistrer le premier nœud dans le cluster Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. | ||
8 | Créer et enregistrer d'autres nœuds Terminez la configuration du cluster. | ||
9 | Lancer un essai et passer à la production (chapitre suivant) Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. |
Télécharger les fichiers d'installation
1 | Connectez-vous à https://admin.webex.com, puis cliquez sur Services. | ||||
2 | Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.
| ||||
3 | Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant. Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
| ||||
4 | Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
Identifiants de base de données
Mises à jour des certificats
Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
1 | Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
2 | Pour vous connecter au registre des images Docker, saisissez ce qui suit :
| ||||||||||||
3 | À l'invite du mot de passe, saisissez ce hachage :
| ||||||||||||
4 | Téléchargez la dernière image stable pour votre environnement : Dans les environnements normaux :
Dans les environnements FedRAMP :
| ||||||||||||
5 | Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche. | ||||||||||||
6 |
Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard. | ||||||||||||
7 | Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||||
8 | Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer. | ||||||||||||
9 | Sur la page Importation ISO, vous avez les options suivantes :
| ||||||||||||
10 | Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.
| ||||||||||||
11 | Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé : | ||||||||||||
12 | Sélectionnez un mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.) | ||||||||||||
13 | Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||||
14 | (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :
| ||||||||||||
15 | Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service. Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||||
16 | Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||||
17 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||||
18 | Pour arrêter l'outil d'installation, tapez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez. |
Installer le fichier OVA de l'hôte HDS
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. | ||||||
2 | Sélectionnez FichierDéployer le modèle OVF… | ||||||
3 | Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. | ||||||
4 | Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. | ||||||
5 | Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent. | ||||||
6 | Vérifiez les détails du modèle, puis cliquez sur Suivant. | ||||||
7 | Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant. | ||||||
8 | Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles. | ||||||
9 | Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle. | ||||||
10 | Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :
Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.
| ||||||
11 | Faites un clic droit sur la MV du nœud, puis choisissez .Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.
1 | Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 | Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur. |
3 | Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration. |
4 | Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
5 | (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
6 | Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte. |
Télécharger et monter l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.
1 | Téléchargez le fichier ISO depuis votre ordinateur : |
2 | Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l'intégration du proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.
Avant de commencer
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
1 | Saisissez l’URL de configuration du nœud HDS |
2 | Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS. |
3 | Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 | Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
5 | Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet. |
6 | Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
7 | Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Connectez-vous à https://admin.webex.com. |
2 | Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
|
4 | Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant. |
5 | Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
6 | Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
7 | Cliquez sur Aller sur le noeud. |
8 | Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
|
9 | Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
10 | Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer d'autres nœuds
À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours. |
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS. |
2 | Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides. |
3 | Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS. |
4 | Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
5 | Enregistrer le nœud. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
|
Que faire ensuite
Flux des tâches d'essai à production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.
Avant de commencer
1 | Le cas échéant, synchronisez le Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le |
2 |
Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 | Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 | Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 | |
6 | Terminez la phase d’essai avec l’une des actions suivantes : |
Activer l’essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup
objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
1 | Connectez-vous à https://admin.webex.com, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
|
4 | Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, |
Tester votre déploiement de sécurité des données hybrides
Avant de commencer
Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.
1 | Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.
| ||
2 | Envoyer des messages au nouvel espace. | ||
3 | Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides. |
Surveiller la santé de la sécurité des données hybrides
1 | Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
|
3 | Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre essai
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai. |
4 | Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer . |
Passer de l'essai à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Move to Production. |
4 | Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre fin à votre essai sans passer à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Désactiver, cliquez sur Désactiver. |
4 | Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai. |
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
1 | Connectez-vous au Control Hub. |
2 | Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 | Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 | Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 | Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter. |
Modifier la configuration du nœud
Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.
Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
Création d'une nouvelle configuration pour préparer un nouveau centre de données.
Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :
Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :
Description
Variable
proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.
1 | En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 | Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds. |
3 | Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 | répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.
Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.
Avant de commencer
1 | Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion. |
2 | Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui . |
3 | Rendez-vous sur la page Trust Store & Proxy. |
4 | Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non. |
Que faire ensuite
Supprimer un nœud
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle. |
2 | Supprimer le nœud : |
3 | Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.) Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Récupération après sinistre à l'aide du centre de données en attente
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. | ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 | Arrêtez l'un de vos nœuds HDS. |
2 | Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
3 | Choisissez Fichier ISO Datastore. et décocher |
4 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
5 | Répétez l'opération pour chaque nœud HDS. |
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte | Action |
---|---|
Échec de l'accès à la base de données locale. |
Vérifiez les erreurs de base de données ou les problèmes de réseau local. |
Échec de connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud. |
Échec de l’accès au service Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l’inscription au service cloud. |
L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours. |
L’enregistrement du service Cloud a été abandonné. |
L’inscription aux services du Cloud a pris fin. Le service s'arrête. |
Le service n'est pas encore activé. |
Activez un essai ou terminez le déplacement de l'essai en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale. |
Échec de l’authentification aux services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service. |
Impossible d’ouvrir le fichier du magasin de clés local. |
Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier les mesures. |
Vérifiez l’accès du réseau local aux services de cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès. |
Dépannage de la sécurité des données hybrides
1 | Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. |
2 | Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides. |
3 | Contactez l’assistance Cisco. |
Problèmes connus pour la sécurité des données hybrides
Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 | Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
2 | Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 | Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé
|
4 | Créez le fichier .p12 avec le nom convivial
|
5 | Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12
et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire. |
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte des métriques sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud
Configurer des proxys Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via le proxy Squid
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:
) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss:
le trafic pour le bon fonctionnement des services.
Calamars 4 et 5
Ajouter le on_unsupported_protocol
directive à squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf
. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informations nouvelles et modifiées
Date |
Modifications effectuées | ||
---|---|---|---|
20 octobre 2023 |
| ||
07 août 2023 |
| ||
23 mai 2023 |
| ||
06 décembre 2022 |
| ||
23 novembre 2022 |
| ||
13 octobre 2021 |
Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker. | ||
24 juin 2021 |
Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. | ||
30 avril 2021 |
Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails. | ||
24 février 2021 |
L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails. | ||
2 février 2021 |
HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. | ||
11 janvier 2021 |
Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS. | ||
13 octobre 2020 |
Mise à jour de Télécharger les fichiers d'installation. | ||
8 octobre 2020 |
Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP. | ||
14 août 2020 |
Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion. | ||
5 août 2020 |
Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux. Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs. | ||
16 juin 2020 |
Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub. | ||
4 juin 2020 |
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir. | ||
29 mai 2020 |
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. | ||
5 mai 2020 |
Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5. | ||
21 avril 2020 |
Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas. | ||
1er avril 2020 |
Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux. | ||
20 février 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS. | ||
4 février 2020 | Mise à jour des Exigences du serveur proxy. | ||
16 décembre 2019 | Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy. | ||
19 novembre 2019 |
Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : | ||
8 novembre 2019 |
Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
| ||
6 septembre 2019 |
Ajout du standard SQL Server aux exigences du serveur de base de données. | ||
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement. | ||
20 août 2019 |
Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex . | ||
13 juin 2019 | Mise à jour du Flux des tâches d'essai par rapport à la production avec un rappel pour synchroniser l'objet du groupe HdsTrialGroup avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. | ||
6 mars 2019 |
| ||
28 février 2019 |
| ||
26 février 2019 |
| ||
24 janvier 2019 |
| ||
5 novembre 2018 |
| ||
19 octobre 2018 |
| ||
31 juillet 2018 |
| ||
21 mai 2018 |
Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :
| ||
11 avril 2018 |
| ||
22 février 2018 |
| ||
15 février 2018 |
| ||
18 janvier 2018 |
| ||
2 novembre 2017 |
| ||
18 août 2017 |
Première publication |
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :
-
Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
-
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
-
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
-
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.
Collaborer avec d’autres organisations
Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.
Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.
Attentes concernant le déploiement de la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.
La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
-
Gérer la sauvegarde et la restauration de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.
Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS. |
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.
Modèle de déploiement de la sécurité des données hybrides
Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex n’est mis à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu’un seul cluster par organisation.
Mode d'évaluation de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en attente pour la reprise après sinistre
Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif. |
Configurer le centre de données en attente pour la reprise après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :
Avant de commencer
-
Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
-
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 |
Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.
| ||
2 |
Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 |
Sur la page Paramètres avancés , ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.
| ||
4 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 |
Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 |
Cliquez sur Edit Settings >Lecteur CD/DVD 1 et sélectionnez Datastore ISO File.
| ||
8 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 |
Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
Après avoir configuré passiveMode
dans le fichier ISO et l'avoir enregistré, vous pouvez créer une autre copie du fichier ISO sans la configuration passiveMode
et l'enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans configuration passiveMode
peut vous aider dans un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent non inspectant—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent de tunneling ou d'inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite—Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FQDN proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucun—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Exigences pour la sécurité des données hybrides
Exigences relatives aux licences Cisco Webex
Pour déployer la sécurité des données hybrides :
-
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration minimale requise pour Docker Desktop
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Exigences |
Détails |
---|---|
|
Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'organisateur virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.
Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données. |
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
PostgreSQL |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL |
Microsoft SQL Server |
---|---|
Pilote Postgres JDBC driver 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application |
Protocole |
Port |
Direction de l’application |
Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides |
TCP |
443 |
HTTPS et WSS sortants |
|
Outil de configuration HDS |
TCP |
443 |
HTTPS sortant |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives. |
Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
Région |
URL de l'hôte Common Identity |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les prérequis pour la sécurité des données hybrides
1 |
Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus. | ||
2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, | ||
3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel. | ||
4 |
Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. | ||
5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. | ||
6 |
Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514). | ||
7 |
Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.
Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. | ||
8 |
Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe. | ||
9 |
Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. | ||
10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. | ||
11 |
Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé
|
Hybrid Data Security Deployment Task Flow
Avant de commencer
1 |
Download the OVA file to your local machine for later use. | ||
2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
6 |
Configurer le nœud HDS pour l’intégration du proxy If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
8 |
Create and Register More Nodes Complete the cluster setup. | ||
9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP :
| ||||||||||||
2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||||
3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||||
4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||||
5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||||
6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
9 |
On the ISO Import page, you have these options:
| ||||||||||||
10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
18 |
Pour arrêter l’outil d’installation, tapez |
Que faire ensuite
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
2 |
Sélectionnez FichierDéployer le modèle OVF… | ||||||
3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
6 |
Verify the template details and then click Next. | ||||||
7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
11 |
Right-click the node VM, and then choose .The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Avant de commencer
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
1 |
Upload the ISO file from your computer: |
2 |
Mount the ISO file: |
Que faire ensuite
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
See Proxy Support for an overview of the supported proxy options.
1 |
Entrez l’URL de configuration du nœud HDS |
2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Register the First Node in the Cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. A cluster contains one or more nodes deployed to provide redundancy.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de noeud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Connectez-vous à https://admin.webex.com. |
2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Examples: "San Francisco" or "New York" or "Dallas" |
6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
7 |
Cliquez sur Aller sur le noeud. |
8 |
Cliquez sur Continuer dans la message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de noeud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
Que faire ensuite
Flux des tâches d'essai à production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.
Avant de commencer
1 |
Le cas échéant, synchronisez l'objet du groupe Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet du groupe |
2 |
Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 |
Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 |
Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 | |
6 |
Terminez la phase d’essai avec l’une des actions suivantes : |
Activer l’essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet du groupe HdsTrialGroup
pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
1 |
Connectez-vous à https://admin.webex.com, puis sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
|
4 |
Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, |
Tester votre déploiement de sécurité des données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides.
-
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.
1 |
Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.
| ||
2 |
Envoyer des messages au nouvel espace. | ||
3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides. |
Surveiller la santé de la sécurité des données hybrides
1 |
Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 |
Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
|
3 |
Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre essai
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 |
Connectez-vous au Control Hub, puis sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai. |
4 |
Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Puis cliquez sur Enregistrer. |
Passer de l'essai à la production
1 |
Connectez-vous au Control Hub, puis sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Service Status, cliquez sur Move to Production. |
4 |
Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre fin à votre essai sans passer à la production
1 |
Connectez-vous au Control Hub, puis sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Désactiver, cliquez sur Désactiver. |
4 |
Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai. |
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
1 |
Connectez-vous au Control Hub. |
2 |
Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 |
Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 |
Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à niveau au jour suivant, si nécessaire, en cliquant sur Reporter. |
Modifier la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation logicielle—L'ancien et le nouveau mot de passe fonctionnent tous deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle—Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle machine virtuelle de nœud de sécurité des données hybrides et enregistrez-la à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds. |
3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion. |
2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
3 |
Allez à la page proxy de la Banque de confiance & . |
4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle. |
2 |
Supprimer le nœud : |
3 |
Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la MV et cliquez sur Supprimer.) Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Récupération après sinistre à l'aide du centre de données en attente
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
1 |
Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. | ||
2 |
Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 |
Sur la page Paramètres avancés , ajoutez la configuration ci-dessous ou supprimez la configuration
| ||
4 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 |
Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 |
Cliquez sur Edit Settings >Lecteur CD/DVD 1 et sélectionnez Datastore ISO File.
| ||
8 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 |
Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 |
Arrêtez l'un de vos nœuds HDS. |
2 |
Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
3 |
Choisissez Datastore ISO File. et décochez |
4 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
5 |
Répétez l'opération pour chaque nœud HDS. |
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
-
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
-
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
-
-
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte |
Action |
---|---|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de base de données ou les problèmes de réseau local. |
Échec de connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud. |
Échec de l’accès au service Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l’inscription au service cloud. |
L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours. |
L’enregistrement du service Cloud a été abandonné. |
L’inscription aux services du Cloud a pris fin. Le service s'arrête. |
Le service n'est pas encore activé. |
Activez un essai, ou terminez le déplacement de l'essai en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale. |
Échec de l’authentification aux services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service. |
Impossible d’ouvrir le fichier du magasin de clés local. |
Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier les mesures. |
Vérifiez l’accès du réseau local aux services de cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès. |
Dépannage de la sécurité des données hybrides
1 |
Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. |
2 |
Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides. |
3 |
Contactez l’assistance Cisco. |
Problèmes connus pour la sécurité des données hybrides
-
Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
-
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront à utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et réintégration).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
-
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 |
Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le en tant que |
2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 |
Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé
|
4 |
Créez le fichier .p12 avec le nom convivial
|
5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12
et le mot de passe que vous avez défini pour celui-ci dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire. |
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte des métriques sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:
) requises par la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS :
le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol
directive sur squid.conf
:
on_unsupported_protocol tunnel tout
Squid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf
. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump épissure wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tous ssl_bump stare step2 tous ssl_bump bump step3 tous
Informations nouvelles et modifiées
Date | Modifications effectuées | ||
---|---|---|---|
20 octobre 2023 |
| ||
07 août 2023 |
| ||
23 mai 2023 |
| ||
06 décembre 2022 |
| ||
23 novembre 2022 |
| ||
13 octobre 2021 | Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker. | ||
24 juin 2021 | Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. | ||
30 avril 2021 | Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails. | ||
24 février 2021 | L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails. | ||
2 février 2021 | HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. | ||
11 janvier 2021 | Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS. | ||
13 octobre 2020 | Mise à jour de Télécharger les fichiers d'installation. | ||
8 octobre 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP. | ||
14 août 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion. | ||
5 août 2020 | Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux. Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs. | ||
16 juin 2020 | Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub. | ||
4 juin 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir. | ||
29 mai 2020 | Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. | ||
5 mai 2020 | Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5. | ||
21 avril 2020 | Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas. | ||
1er avril 2020 | Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux. | ||
20 février 2020 | Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS. | ||
4 février 2020 | Mise à jour des Exigences du serveur proxy. | ||
16 décembre 2019 | Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy. | ||
19 novembre 2019 | Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : | ||
8 novembre 2019 | Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
| ||
6 septembre 2019 | Ajout du standard SQL Server aux exigences du serveur de base de données. | ||
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement. | ||
20 août 2019 | Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex. | ||
13 juin 2019 | Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. | ||
6 mars 2019 |
| ||
28 février 2019 |
| ||
26 février 2019 |
| ||
24 janvier 2019 |
| ||
5 novembre 2018 |
| ||
19 octobre 2018 |
| ||
31 juillet 2018 |
| ||
21 mai 2018 | Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :
| ||
11 avril 2018 |
| ||
22 février 2018 |
| ||
15 février 2018 |
| ||
18 janvier 2018 |
| ||
2 novembre 2017 |
| ||
18 août 2017 | Première publication |
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :
Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.
Collaborer avec d’autres organisations
Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.
Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.
Attentes concernant le déploiement de la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.
La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :
Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.
Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS. |
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.
Modèle de déploiement de la sécurité des données hybrides
Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu’un seul cluster par organisation.
Mode d'évaluation de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en attente pour la reprise après sinistre
Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif. |
Configurer le centre de données en attente pour la reprise après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :
Avant de commencer
Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.
| ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
Après la configuration passiveMode
dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode
la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode
configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
HTTP : affiche et contrôle toutes les demandes envoyées par le client.
HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
Type d'authentification—Choisissez parmi les types d'authentification suivants :
Aucun—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
Exemple de nœuds de sécurité des données hybrides et de proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations de proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.
Exigences pour la sécurité des données hybrides
Exigences relatives aux licences Cisco Webex
Pour déployer la sécurité des données hybrides :
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration minimale requise pour Docker Desktop
Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, consultez le billet de blog de Docker, « Docker met à jour et étend nos abonnements à nos produits ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Configuration minimale requise | Détails |
---|---|
| Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
| Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production. |
| Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations. |
| Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS. |
Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'organisateur virtuel
Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.
Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Exigences du serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données. |
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) | Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL | Microsoft SQL Server |
---|---|
Pilote Postgres JDBC driver 42.2.5 | Pilote SQL Server JDBC 4.6 Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application | Protocole | Port | Direction de l’application | Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides | TCP | 443 | HTTPS et WSS sortants |
|
Outil de configuration HDS | TCP | 443 | HTTPS sortant |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives. |
Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
Région | URL de l'hôte Common Identity |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Exigences du serveur proxy
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.
Proxy transparent : Cisco Web Security Appliance (WSA).
Proxy explicite : Squid.
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket (wss :) les connexions. Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.
Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
Aucune authentification avec HTTP ou HTTPS
Authentification de base avec HTTP ou HTTPS
Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic web peuvent interférer avec les connexions des sockets web. Si ce problème se produit, contournement (sans inspection) du trafic vers
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les prérequis pour la sécurité des données hybrides
1 | Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus. | ||
2 | Choisissez un nom de domaine pour votre déploiement HDS (par exemple, | ||
3 | Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel. | ||
4 | Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. | ||
5 | Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. | ||
6 | Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514). | ||
7 | Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.
Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. | ||
8 | Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe. | ||
9 | Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. | ||
10 | Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. | ||
11 | Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé
|
Flux des tâches de déploiement de la sécurité des données hybrides
Avant de commencer
1 | Télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. | ||
2 | Créer une configuration ISO pour les hôtes HDS Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. | ||
3 | Installer le fichier OVA de l'hôte HDS Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.
| ||
4 | Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA. | ||
5 | Télécharger et monter l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. | ||
6 | Configurer le nœud HDS pour l'intégration du proxy Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire. | ||
7 | Enregistrer le premier nœud dans le cluster Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. | ||
8 | Créer et enregistrer d'autres nœuds Terminez la configuration du cluster. | ||
9 | Lancer un essai et passer à la production (chapitre suivant) Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. |
Télécharger les fichiers d'installation
1 | Connectez-vous à https://admin.webex.com, puis cliquez sur Services. | ||||
2 | Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.
| ||||
3 | Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant. Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
| ||||
4 | Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d’un compte Control Hub avec tous les droits d’administrateur pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d’environnement possibles :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
Identifiants de base de données
Mises à jour des certificats
Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
1 | Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement : En environnement régulier :
Dans les environnements FedRAMP :
| ||||||||||||
2 | Pour vous connecter au registre d'images Docker, saisissez les informations suivantes :
| ||||||||||||
3 | À l'invite du mot de passe, saisissez ce hachage :
| ||||||||||||
4 | Téléchargez la dernière image stable pour votre environnement : En environnement régulier :
Dans les environnements FedRAMP :
| ||||||||||||
5 | Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d'exécution, vous voyez « Écoute du serveur express sur le port 8080 ». | ||||||||||||
6 |
Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard. | ||||||||||||
7 | Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||||
8 | Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer. | ||||||||||||
9 | Sur la page Importation ISO, vous avez les options suivantes :
| ||||||||||||
10 | Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.
| ||||||||||||
11 | Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé : | ||||||||||||
12 | Sélectionnez un mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de continuer l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.) | ||||||||||||
13 | Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||||
14 | (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :
| ||||||||||||
15 | Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service. Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||||
16 | Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||||
17 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||||
18 | Pour arrêter l’outil de configuration, tapez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez. |
Installer le fichier OVA de l'hôte HDS
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. | ||||||
2 | Sélectionnez FichierDéployer le modèle OVF… | ||||||
3 | Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. | ||||||
4 | Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. | ||||||
5 | Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant. Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent. | ||||||
6 | Vérifiez les détails du modèle, puis cliquez sur Suivant. | ||||||
7 | Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant. | ||||||
8 | Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles. | ||||||
9 | Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle. | ||||||
10 | Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :
Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.
| ||||||
11 | Faites un clic droit sur la MV du nœud, puis choisissez .Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.
1 | Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 | Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur. |
3 | Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration. |
4 | Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
5 | (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
6 | Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte. |
Télécharger et monter l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.
1 | Téléchargez le fichier ISO depuis votre ordinateur : |
2 | Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l'intégration du proxy
Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.
Avant de commencer
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
1 | Saisissez l’URL de configuration du nœud HDS |
2 | Allez dans Trust Store & Proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS. |
3 | Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 | Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
5 | Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet. |
6 | Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes. |
7 | Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Connectez-vous à https://admin.webex.com. |
2 | Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
|
4 | Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant. |
5 | Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
6 | Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
7 | Cliquez sur Aller sur le noeud. |
8 | Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
|
9 | Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
10 | Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer d'autres nœuds
À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours. |
Avant de commencer
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 | Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS. |
2 | Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides. |
3 | Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS. |
4 | Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
5 | Enregistrer le nœud. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
|
Que faire ensuite
Flux des tâches d'essai à production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.
Avant de commencer
1 | Le cas échéant, synchronisez le Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le |
2 |
Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 | Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 | Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 | |
6 | Terminez la phase d’essai avec l’une des actions suivantes : |
Activer l’essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup
objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
1 | Connectez-vous à https://admin.webex.com, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
|
4 | Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, |
Tester votre déploiement de sécurité des données hybrides
Avant de commencer
Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.
1 | Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.
| ||
2 | Envoyer des messages au nouvel espace. | ||
3 | Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides. |
Surveiller la santé de la sécurité des données hybrides
1 | Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 | Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
|
3 | Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre essai
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai. |
4 | Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Puis cliquez sur Enregistrer. |
Passer de l'essai à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Service Status, cliquez sur Move to Production. |
4 | Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre fin à votre essai sans passer à la production
1 | Connectez-vous au Control Hub, puis sélectionnez Services. |
2 | Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 | Dans la section Désactiver, cliquez sur Désactiver. |
4 | Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai. |
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer le calendrier de mise à niveau du cluster
Pour définir le calendrier de mise à niveau :
1 | Connectez-vous au Control Hub. |
2 | Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 | Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 | Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 | Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter. |
Modifier la configuration du nœud
Modification des certificats x.509 pour cause d’expiration ou pour d’autres raisons.
Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.
Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l’inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
Créer une nouvelle configuration pour préparer un nouveau centre de données.
Par ailleurs, pour des raisons de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation arrivent à expiration, vous recevez un avis de l’équipe Webex vous invitant à réinitialiser le mot de passe de votre compte machine. (Le courrier électronique contient le texte, « Utilisez l'API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous offre deux options :
Réinitialisation logicielle—Les anciens et les nouveaux mots de passe fonctionnent tous deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle—Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation immédiate et le remplacement du fichier ISO sur tous les nœuds.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.
Avant de commencer
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d’un compte Control Hub avec tous les droits d’administrateur pour votre organisation.
Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d’environnement possibles :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des modifications de configuration, y compris les informations d'authentification de la base de données, les mises à jour des certificats ou les modifications de la politique d'autorisation.
1 | En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 | Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle machine virtuelle de nœud de sécurité des données hybrides et enregistrez-la à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds. |
3 | Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud tour à tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 | répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.
Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.
Avant de commencer
1 | Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion. |
2 | Allez à Aperçu (la page par défaut). Lorsque cette option est activée, Résolution DNS externe bloquée est définie sur Oui. |
3 | Rendez-vous sur la page Trust Store & Proxy. |
4 | Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non. |
Que faire ensuite
Supprimer un nœud
1 | Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle. |
2 | Supprimer le nœud : |
3 | Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.) Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Récupération après sinistre à l'aide du centre de données en attente
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
1 | Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. | ||
2 | Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés | ||
3 | Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le
| ||
4 | Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. | ||
5 | Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||
6 | Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings.. | ||
7 | Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.
| ||
8 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes. | ||
9 | Répétez le processus pour chaque nœud du centre de données en veille.
|
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 | Arrêtez l'un de vos nœuds HDS. |
2 | Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
3 | Choisissez Fichier ISO Datastore. et décocher |
4 | Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes. |
5 | Répétez l'opération pour chaque nœud HDS. |
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement
Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte | Action |
---|---|
Échec de l'accès à la base de données locale. |
Vérifiez les erreurs de base de données ou les problèmes de réseau local. |
Échec de connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud. |
Échec de l’accès au service Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l’inscription au service cloud. |
L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours. |
L’enregistrement du service Cloud a été abandonné. |
L’inscription aux services du Cloud a pris fin. Le service s'arrête. |
Le service n'est pas encore activé. |
Activez un essai ou terminez le déplacement de l'essai en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale. |
Échec de l’authentification aux services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service. |
Impossible d’ouvrir le fichier du magasin de clés local. |
Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier les mesures. |
Vérifiez l’accès du réseau local aux services de cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès. |
Dépannage de la sécurité des données hybrides
1 | Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez. |
2 | Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides. |
3 | Contactez l’assistance Cisco. |
Problèmes connus pour la sécurité des données hybrides
Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 | Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
2 | Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 | Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé
|
4 | Créez le fichier .p12 avec le nom convivial
|
5 | Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12
et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire. |
Trafic entre les nœuds HDS et le Cloud
Trafic de collecte des métriques sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud
Configurer des proxys Squid pour la sécurité des données hybrides
Websocket ne peut pas se connecter via le proxy Squid
Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:
) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss:
le trafic pour le bon fonctionnement des services.
Calamars 4 et 5
Ajouter le on_unsupported_protocol
directive à squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf
. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Préface
Informations nouvelles et modifiées
Date |
Modifications effectuées |
---|---|
20 octobre 2023 |
|
7 août 2023 |
|
23 mai 2023 |
|
6 décembre 2022 |
|
23 novembre 2022 |
|
13 octobre 2021 |
Docker Desktop doit exécuter un programme d’installation avant de pouvoir installer les nœuds HDS. Voir Exigences requises pour le bureau Docker. |
24 juin 2021 |
Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails. |
30 avril 2021 |
Modification des exigences de la MV pour l'espace disque dur local à 30 Go. Voir Configuration minimale requise pour l’organisateur virtuel pour plus d’informations. |
24 février 2021 |
L’outil de configuration HDS peut maintenant s’exécuter derrière un proxy. Voir Créer un ISO de configuration pour les hôtes HDS pour plus de détails. |
2 février 2021 |
HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails. |
11 janvier 2021 |
Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer un ISO de configuration pour les hôtes HDS. |
13 octobre 2020 |
Mise à jour de Télécharger les fichiers d'installation. |
8 octobre 2020 |
Mise à jour de la fonction Créer un ISO de configuration pour les hôtes HDS et Modifier la configuration du nœud avec des commandes pour les environnements FedRAMP. |
14 août 2020 |
Mise à jour de l'option Créer un ISO de configuration pour les hôtes HDS et Modifier la configuration du nœud avec des modifications sur le processus de connexion. |
5 août 2020 |
Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les changements dans les messages journaux. Mise à jour des exigences des organisateurs virtuels pour supprimer le nombre maximum d’organisateurs. |
16 juin 2020 |
Mise à jour de l’option Supprimer un nœud pour les modifications dans l’interface utilisateur du Control Hub. |
4 juin 2020 |
Mise à jour de la section Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez configurer. |
29 mai 2020 |
Mise à jour de la section Créer un ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications. |
5 mai 2020 |
Mise à jour des Exigences de l'organisateur virtuel pour afficher la nouvelle exigence d'ESXi 6.5. |
21 avril 2020 |
Mise à jour des exigences de connectivité externe avec de nouveaux hôtes CI pour les Amériques. |
1er avril 2020 |
Mise à jour des exigences de connectivité externe avec des informations sur les hôtes CI régionaux. |
20 février 2020 | Mise à jour de l'option Créer un ISO de configuration pour les hôtes HDS avec des informations sur le nouvel écran des paramètres avancés facultatifs dans l'outil de configuration HDS. |
4 février 2020 | Mise à jour des Exigences requises pour le serveur proxy. |
16 décembre 2019 | Clarification de l'exigence pour le mode de résolution DNS externe bloqué de fonctionner dans Exigences du serveur proxy. |
19 novembre 2019 |
Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : |
8 novembre 2019 |
Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence :
L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes. |
6 septembre 2019 |
Ajout de SQL Server Standard à Exigences du serveur de base de données. |
29 août 2019 | Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour un fonctionnement correct. |
20 août 2019 |
Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Pour accéder uniquement au contenu de la prise en charge du proxy d’un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex . |
13 juin 2019 | Mise à jour du flux des tâches d’essai vers la production avec un rappel pour synchroniser l’objet du groupe HdsTrialGroup avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire. |
6 mars 2019 |
|
28 février 2019 |
|
26 février 2019 |
|
24 janvier 2019 |
|
5 novembre 2018 |
|
19 octobre 2018 |
|
31 juillet 2018 |
|
21 mai 2018 |
Changement de terminologie pour refléter la nouvelle charte graphique de Cisco Spark :
|
11 avril 2018 |
|
22 février 2018 |
|
15 février 2018 |
|
18 janvier 2018 |
|
2 novembre 2017 |
|
Première publication |
Première publication |
Commencer avec la sécurité des données hybrides
Présentation de la sécurité des données hybrides
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important du client et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
l'équipement, les logiciels et l'accès au réseau décrits dans .
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d'installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, le passage à la production. Cette action convertit l’ensemble de l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases d’installation, d’essai et de production sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Control Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Nous ne prenons en charge qu'un seul cluster par organisation.
Mode d'essai de la sécurité des données hybrides
Après avoir configuré un déploiement de sécurité des données hybrides, vous essayez tout d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d’essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et autres services de sécurité du domaine. Vos autres utilisateurs continuent d'utiliser le domaine de la sécurité du Cloud.
Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.
Si vous êtes satisfait que votre déploiement fonctionne bien pour les utilisateurs de la version d'évaluation et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous déplacez le déploiement vers la production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui étaient utilisées pendant l'essai. Cependant, vous ne pouvez pas aller et venir entre le mode de production et l'essai initial. Si vous devez désactiver le service, par exemple pour effectuer une récupération après sinistre, lorsque vous le réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode production. La question de savoir si les utilisateurs conservent l'accès aux données à ce stade dépend du fait que vous ayez réussi à maintenir les sauvegardes de la banque de données principale et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en veille est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en veille restent toujours à jour avec la dernière version du logiciel HDS.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Configurer le centre de données en veille pour la reprise d'activité après sinistre
Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en veille :
Avant de commencer
-
Le centre de données en veille doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. (Voir Centre de données de veille pour la reprise d'activité après sinistre pour un aperçu de ce modèle de basculement.)
-
Vérifiez que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.
1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées. |
2 |
Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés |
3 |
Sur la page Paramètres avancés , ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré auprès de l’entreprise et connecté au Cloud, mais ne traitera aucun trafic.
|
4 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
5 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
6 |
Dans le panneau de navigation gauche du client VMware vSphere, faites un clic droit sur la MV et cliquez sur Modifier les paramètres. |
7 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
8 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
9 |
Répétez le processus pour chaque nœud dans le centre de données en veille. Vérifiez les syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les fichiers syslogs. |
Que faire ensuite
Après avoir configuré passiveMode
dans le fichier ISO et l'avoir enregistré, vous pouvez créer une autre copie du fichier ISO sans la configuration passiveMode
et l'enregistrer dans un emplacement sécurisé. Cette copie du fichier ISO sans mode passif
configuré peut vous aider dans un processus de basculement rapide pendant la reprise d'activité après sinistre. Voir Récupération après sinistre en utilisant le centre de données en veille pour la procédure détaillée de basculement.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides :
-
Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
Signé par une autorité de certification (CA) de confiance |
Détails |
---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. Choisissez un domaine qui peut s'appliquer aux déploiements d'essai et de production. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
Installation et exécution de VMware ESXi 6.5 (ou version ultérieure).
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
PostgreSQL |
Serveur Microsoft SQL |
---|---|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
PostgreSQL |
Serveur Microsoft SQL |
---|---|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
Application |
Protocole |
Port |
Direction de l’application |
Destination |
---|---|---|---|---|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
Région |
URL de l'identité commune de l'organisateur |
---|---|
Amériques |
|
Union européenne |
|
Canada |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.com
etciscospark.com
résoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
1 |
Vérifiez que votre organisation Webex est activée pour le Pro Pack pour Cisco Webex Control Hub et obtenez les informations d’identification d’un compte avec tous les droits d’administrateur de l’organisation. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. |
2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Votre entreprise peut avoir besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
11 |
Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans le répertoire actif, appelé Les clés d'un espace donné sont définies par le créateur de l'espace. Lorsque vous sélectionnez des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu des espaces qui ont été créés par les utilisateurs pilotes. La perte devient évidente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu. |
Installer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
Avant de commencer
1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes. |
4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
9 |
Lancer un essai et passer à la production (chapitre suivant) Jusqu'à ce que vous commenciez une période d'essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. |
Télécharger les fichiers d'installation
1 |
Connectez-vous à https://admin.webex.com, puis cliquez sur Services. |
2 |
Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez-leur d’activer la sécurité des données hybrides pour votre organisation. Pour trouver le numéro de compte, cliquez sur l'engrenage en haut à droite, à côté du nom de votre organisation. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide sur la page Paramètres . Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. |
3 |
Sélectionnez Non pour indiquer que vous n'avez pas encore configuré le nœud, puis cliquez sur Suivant. Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
4 |
Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port
-
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur du client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
2 |
Sélectionnez FichierDéployer le modèle OVF… |
3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes. |
11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez .Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
1 |
Entrez l’URL de configuration du nœud HDS |
2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 |
Connectez-vous à https://admin.webex.com. |
2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
3 |
Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données s'affiche.
|
4 |
Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant. |
5 |
Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
6 |
Dans le deuxième champ, entrez l'adresse IP interne ou le nom de domaine complet (FQDN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
7 |
Cliquez sur Aller sur le nœud. |
8 |
Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
|
9 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
10 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Control Hub. Sur la page Données de sécurité hybrides, le nouveau cluster contenant le nœud que vous avez enregistré est affiché. Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Actuellement, les machines virtuelles de sauvegarde que vous avez créées dans Complétez les prérequis pour la sécurité des données hybrides sont des hôtes en veille qui ne sont utilisés qu'en cas de reprise d'activité après sinistre ; elles ne sont pas enregistrées avec le système avant cette date. Pour des détails, voir Récupération après sinistre en utilisant le centre de données de veille.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
5 |
Enregistrer le nœud. Votre nœud est enregistré. Notez que jusqu'à ce que vous commenciez une période d'essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
|
Que faire ensuite
Lancer un essai et se déplacer vers la production
Flux des tâches de l’essai à la production
Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue du passage à la production.
Avant de commencer
1 |
Le cas échéant, synchronisez l'objet du groupe Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet de groupe |
2 |
Commencer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé. |
3 |
Tester le déploiement de sécurité de vos données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides. |
4 |
Contrôler l'intégrité de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes. |
5 |
Ajouter ou supprimer des utilisateurs de votre version d'évaluation |
6 |
Terminez la phase d'essai avec l'une des actions suivantes : |
Activer l'essai
Avant de commencer
Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet de groupe HdsTrialGroup
pour la synchronisation avec le Cloud avant de pouvoir démarrer un test pour votre organisation. Pour des instructions, voir le Guide de déploiement de Cisco Directory Connector.
1 |
Connectez-vous à https://admin.webex.com et sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Statut du service, cliquez sur Démarrer le test. L'état du service passe en mode d'évaluation.
|
4 |
Cliquez sur Ajouter des utilisateurs et saisissez l’adresse électronique d’un ou plusieurs utilisateurs pour piloter l’utilisation de vos nœuds de sécurité des données hybrides pour les services de chiffrement et d’indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Répertoire actif pour gérer le groupe d'essai, |
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides.
-
Activez la version d'évaluation et ajoutez plusieurs utilisateurs d'essai.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides.
1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
2 |
Envoyer des messages au nouvel espace. |
3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
1 |
Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
2 |
Dans la section Services hybrides, recherchez la sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres des données hybrides s'affiche.
|
3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Ajouter ou supprimer des utilisateurs de votre version d'évaluation
Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS du Cloud la récupérera au nom de l'utilisateur.
Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup
; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.
1 |
Connectez-vous au Control Hub, puis sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Mode de test de la zone État du service, cliquez sur Ajouter des utilisateurs ou cliquez sur afficher et modifier pour supprimer les utilisateurs de la version d'évaluation. |
4 |
Saisissez l'adresse électronique d'un ou de plusieurs utilisateurs à ajouter ou cliquez sur le X en utilisant un ID utilisateur pour supprimer l'utilisateur de la version d'évaluation. Puis cliquez sur Enregistrer. |
Passer de l'essai à la production
1 |
Connectez-vous au Control Hub, puis sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Statut du service, cliquez sur Déplacer vers la production. |
4 |
Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production. |
Mettre un terme à votre essai sans passer par la production
1 |
Connectez-vous au Control Hub, puis sélectionnez Services. |
2 |
Sous Sécurité des données hybrides, cliquez sur Paramètres. |
3 |
Dans la section Désactiver, cliquez sur Désactiver. |
4 |
Confirmez que vous souhaitez désactiver le service et mettre fin à l'essai. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
1 |
Connectez-vous au Control Hub. |
2 |
Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides. |
3 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
4 |
Dans le panneau de présentation de droite, sous Paramètres du cluster, sélectionnez le nom du cluster. |
5 |
Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port
-
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le en utilisant le nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
3 |
Allez à la page proxy de la Banque de confiance & . |
4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
2 |
Supprimer le nœud : |
3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
2 |
Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés |
3 |
Sur la page Paramètres avancés , ajoutez la configuration ci-dessous ou supprimez la configuration
|
4 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
5 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
6 |
Dans le panneau de navigation gauche du client VMware vSphere, faites un clic droit sur la MV et cliquez sur Modifier les paramètres. |
7 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
8 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
9 |
Répétez le processus pour chaque nœud dans le centre de données en veille. Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les fichiers syslogs. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
1 |
Arrêtez l'un de vos nœuds HDS. |
2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
3 |
Choisissez Fichier ISO de la banque de données. et décochez |
4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
Alerte |
Action |
---|---|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
Le service n'est pas encore activé. |
Activez un essai ou terminez le test en production. |
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
Dépannage de la sécurité des données hybrides
1 |
Consultez Control Hub pour connaître les alertes et corrigez les éléments que vous y trouverez. |
2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. |
3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en arrêtant tous les nœuds), si vous perdez votre fichier ISO de configuration ou si vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de votre application Webex ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Ceci s'applique aux déploiements d'essai et de production. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure). Lorsqu’un utilisateur devient membre d’une version d’évaluation de sécurité des données hybrides, le client de l’utilisateur continue d’utiliser la connexion ECDH existante jusqu’à ce qu’elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement auquel l’application contacte pour les clés de chiffrement.
Le même comportement se produit lorsque vous déplacez un essai en production pour l'organisation. Tous les utilisateurs exclus du test disposant d'une connexion ECDH existante aux services de sécurité des données précédents continueront à utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (via le délai d'expiration ou la déconnexion et la reconnexion).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
4 |
Créez le fichier .p12 avec le nom facile
|
5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12
et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :
) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS :
le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol
directive à squid.conf
:
on_unsupported_protocol tunnel tous
Squid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf
. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tous