- Accueil
- /
- Article
Merci pour votre commentaire.
Guide de déploiement pour la sécurité des données hybrides multi-locataires (HDS) (Bêta)
Dans cet article
Un commentaire ?Informations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
13 décembre 2024 |
Première version. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
Installation et exécution de VMware ESXi 6.5 (ou version ultérieure).
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Entrez l’URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le en utilisant le nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom facile
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel tousSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tousInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
8 janvier 2025 |
Ajout d'une remarque dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour des Exigences de l’organisateur virtuel, Flux des tâches de déploiement de sécurité des données hybrides et Installer l’OVA de l’organisateur HDS pour afficher la nouvelle exigence d’ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) est installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Entrez l’URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le à l'aide du nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom facile
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel tousSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tousInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
8 janvier 2025 |
Ajout d'une remarque dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour des Exigences de l’organisateur virtuel, Flux des tâches de déploiement de sécurité des données hybrides et Installer l’OVA de l’organisateur HDS pour afficher la nouvelle exigence d’ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) est installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Entrez l’URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le à l'aide du nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom facile
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel tousSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tousInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
8 janvier 2025 |
Ajout d'une remarque dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour des Exigences de l’organisateur virtuel, Flux des tâches de déploiement de sécurité des données hybrides et Installer l’OVA de l’organisateur HDS pour afficher la nouvelle exigence d’ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) est installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Entrez l’URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le à l'aide du nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom facile
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel tousSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tousInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
15 janvier 2025 |
Ajout des limites de la sécurité des données hybrides multi-locataires. |
|
8 janvier 2025 |
Ajout d'une remarque dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour des Exigences de l’organisateur virtuel, Flux des tâches de déploiement de sécurité des données hybrides et Installer l’OVA de l’organisateur HDS pour afficher la nouvelle exigence d’ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Limites de la sécurité des données hybrides multi-locataires
- Les organisations partenaires ne doivent pas avoir de déploiement HDS existant actif dans Control Hub.
- Les organisations clientes ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans le Control Hub.
- Une fois que le HDS multi-tenant est déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l’organisation partenaire commencent à utiliser le HDS multi-tenant pour leurs services de chiffrement.
L’organisation partenaire et les organisations des clients qu’ils gèrent seront sur le même déploiement HDS multi-tenant.
L’organisation partenaire n’utilisera plus KMS sur le Cloud après le déploiement de HDS multi-tenant.
- Il n'y a aucun mécanisme pour déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-tenant ne peut avoir qu'un seul cluster, avec plusieurs nœuds en dessous.
- Les rôles d'administrateur ont certaines limites ; voir la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) est installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous au Hub partenaire, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Entrez l’URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le à l'aide du nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom facile
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel tousSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tousInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
30 janvier 2025 |
Ajout de la version 2022 du serveur SQL à la liste des serveurs SQL pris en charge dans Exigences du serveur de base de données. |
|
15 janvier 2025 |
Ajout des limites de la sécurité des données hybrides multi-locataires. |
|
8 janvier 2025 |
Ajout d'une remarque dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour des Exigences de l’organisateur virtuel, Flux des tâches de déploiement de sécurité des données hybrides et Installer l’OVA de l’organisateur HDS pour afficher la nouvelle exigence d’ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Limites de la sécurité des données hybrides multi-locataires
- Les organisations partenaires ne doivent pas avoir de déploiement HDS existant actif dans Control Hub.
- Les organisations clientes ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans le Control Hub.
- Une fois que le HDS multi-tenant est déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l’organisation partenaire commencent à utiliser le HDS multi-tenant pour leurs services de chiffrement.
L’organisation partenaire et les organisations des clients qu’ils gèrent seront sur le même déploiement HDS multi-tenant.
L’organisation partenaire n’utilisera plus KMS sur le Cloud après le déploiement de HDS multi-tenant.
- Il n'y a aucun mécanisme pour déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-tenant ne peut avoir qu'un seul cluster, avec plusieurs nœuds en dessous.
- Les rôles d'administrateur ont certaines limites ; voir la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) est installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous au Hub partenaire, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Entrez l’URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le à l'aide du nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom facile
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel tousSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tousInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
30 janvier 2025 |
Ajout de la version 2022 du serveur SQL à la liste des serveurs SQL pris en charge dans Exigences du serveur de base de données. |
|
15 janvier 2025 |
Ajout des limites de la sécurité des données hybrides multi-locataires. |
|
8 janvier 2025 |
Ajout d'une remarque dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour des Exigences de l’organisateur virtuel, Flux des tâches de déploiement de sécurité des données hybrides et Installer l’OVA de l’organisateur HDS pour afficher la nouvelle exigence d’ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Limites de la sécurité des données hybrides multi-locataires
- Les organisations partenaires ne doivent pas avoir de déploiement HDS existant actif dans Control Hub.
- Les organisations clientes ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans le Control Hub.
- Une fois que le HDS multi-tenant est déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l’organisation partenaire commencent à utiliser le HDS multi-tenant pour leurs services de chiffrement.
L’organisation partenaire et les organisations des clients qu’ils gèrent seront sur le même déploiement HDS multi-tenant.
L’organisation partenaire n’utilisera plus KMS sur le Cloud après le déploiement de HDS multi-tenant.
- Il n'y a aucun mécanisme pour déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-tenant ne peut avoir qu'un seul cluster, avec plusieurs nœuds en dessous.
- Les rôles d'administrateur ont certaines limites ; voir la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) est installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous au Hub partenaire, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l'outil d'installation, tapez sur |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Entrez l’URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le à l'aide du nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom facile
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel tousSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tousInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctions ou fonctionnalités, les modifications apportées au contenu existant et les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multi-tenant.
|
Date |
Modifications apportées |
|---|---|
|
04 mars 2025 |
|
|
30 janvier 2025 |
Ajout de la version 2022 du serveur SQL à la liste des serveurs SQL pris en charge dans Exigences du serveur de base de données. |
|
15 janvier 2025 |
Ajout de Limites de la sécurité des données hybrides multi-tenant. |
|
8 janvier 2025 |
Ajout d'une remarque dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour des Exigences de l’organisateur virtuel, Flux des tâches de déploiement de sécurité des données hybrides et Installer l’OVA de l’organisateur HDS pour afficher la nouvelle exigence d’ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux des tâches de désactivation HDS multi-tenant
Suivez ces étapes pour désactiver complètement le HDS multi-tenant.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme indiqué dans Supprimer les organisations des tenants. |
| 2 |
Révoquez les CMK de tous les clients, comme indiqué dans Révoquer les CMK des tenants supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme indiqué dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters du Hub partenaire en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page d'aperçu de la sécurité des données hybrides et cliquez sur Désactiver HDS sur la carte de statut HDS. |
Commencer avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux entreprises de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le chiffrement sur site et d’autres services de sécurité. Cette configuration permet à l’organisation partenaire d’avoir un contrôle complet sur le déploiement et la gestion des clés de chiffrement et garantit que les données des utilisateurs des organisations clientes sont protégées de l’accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS si nécessaire. Chaque instance peut prendre en charge plusieurs organisations clientes contrairement à un déploiement HDS normal qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, car le service de gestion des clés et l’infrastructure de sécurité comme les centres de données sont la propriété du partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataire assure la souveraineté et le contrôle des données
- Le contenu généré par l’utilisateur est protégé contre l’accès externe, comme les fournisseurs de services en nuage.
- Les partenaires de confiance locaux gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option d'assistance technique locale, si fournie par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et gérer les clients sous un système de sécurité des données hybrides multi-locataires.
Limites de la sécurité des données hybrides multi-locataires
- Les organisations partenaires ne doivent pas avoir de déploiement HDS existant actif dans Control Hub.
- Les organisations clientes ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans le Control Hub.
- Une fois que le HDS multi-tenant est déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l’organisation partenaire commencent à utiliser le HDS multi-tenant pour leurs services de chiffrement.
L’organisation partenaire et les organisations des clients qu’ils gèrent seront sur le même déploiement HDS multi-tenant.
L’organisation partenaire n’utilisera plus KMS sur le Cloud après le déploiement de HDS multi-tenant.
- Il n'y a aucun mécanisme pour déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-tenant ne peut avoir qu'un seul cluster, avec plusieurs nœuds en dessous.
- Les rôles d'administrateur ont certaines limites ; voir la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybrides multi-locataires
- Administrateur partenaire complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été affectés à l'utilisateur.
- Administrateur complet : administrateur de l'organisation partenaire qui est autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-tenant de bout en bout de toutes les organisations clientes - Droits d'administrateur complet du partenaire et d'administrateur complet requis.
- Gestion des organisations de tenants assignés - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides multi-tenant.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer la sécurité des données hybrides, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
-
L’équipement, le logiciel et l’accès réseau décrits dans Préparer votre environnement.
La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.
Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.
Processus d’installation de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides multi-locataire :
-
Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations de tenants au cluster et la gestion de leurs clés principales du client (CMK). Ceci permettra à tous les utilisateurs de vos organisations clientes d’utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d'activation et de gestion sont abordées en détail dans les trois prochains chapitres.
-
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans le Hub partenaire. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données en veille pour la reprise d'activité après sinistre
Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement.
Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
-
Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification—Choisissez parmi les types d'authentification suivants :
-
Aucune—Aucune autre authentification n'est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences pour la sécurité des données hybrides multi-locataires
Configuration minimale requise pour la licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité multi-tenant est activée.
-
Organisations des tenants : Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Exigences requises pour Docker Desktop
Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Les clients sans licence Docker Desktop peuvent utiliser un outil de gestion de conteneurs open source comme Podman Desktop pour exécuter, gérer et créer des conteneurs. Voir Exécuter l’outil de configuration HDS en utilisant le bureau Podman pour plus de détails.
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Configuration minimale requise pour l’organisateur virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 (ou version ultérieure) est installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration minimale requise pour le serveur de base de données
Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Serveur Microsoft SQL |
|---|---|
|
Pilote Postgres JDBC 42.2.5 |
Pilote SQL Server JDBC 4.6 Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité). |
Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences en matière de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction de l’application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil d’installation HDS |
TCP |
443 |
HTTPS sortante |
|
Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.
Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :
|
Région |
URL de l'identité commune de l'organisateur |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Émirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, en contournant (ne pas inspecter) le trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que la fonctionnalité HDS multi-tenant est activée pour votre organisation partenaire et obtenez les informations d'identification d'un compte avec le partenaire administrateur avec droits d'administrateur complet et d'administrateur complet. Assurez-vous que votre organisation cliente Webex est activée pour le Pack Pro pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations des clients ne doivent pas avoir de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel. |
| 4 |
Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Vous aurez peut-être besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy. |
Configurer un cluster de sécurité des données hybrides
Flux des tâches de déploiement de sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d’installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud dans le cluster Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez HDS multi-tenant sur Partner Hub. Activez HDS et gérez les organisations de tenants sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d’installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous au Hub partenaire, puis cliquez sur Services. |
| 2 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l'installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel . Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide . Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Sinon, cliquez sur Voir le guide de déploiement de sécurité des données hybrides pour vérifier si une version plus récente de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets.
Si vous n'avez pas de licence Docker Desktop, vous pouvez utiliser Podman Desktop pour exécuter l'outil d'installation HDS pour les étapes 1 à 5 de la procédure ci-dessous. Voir Exécuter l’outil de configuration HDS en utilisant le bureau Podman pour plus de détails.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO , vous avez les options suivantes :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un Mode de connexion à la base de données TLS :
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès). | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service . Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. | ||||||||||
| 18 |
Pour arrêter l’outil d’installation, saisissez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant. Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV. |
| 9 |
Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV. |
| 10 |
Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :
Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud. L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 7.0. L’option n’est peut-être pas disponible dans les versions précédentes. |
| 11 |
Faites un clic droit sur la machine virtuelle du nœud, puis choisissez . Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration . |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Saisissez l’URL d’installation du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud dans le cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la carte de sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s’ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud , saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas" |
| 6 |
Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine entièrement qualifié (FQDN) de votre nœud et cliquez sur Ajouter au bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Partner Hub. Sur la page Sécurité des données hybrides , le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources . Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS. |
| 2 |
Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations de tenants sur la sécurité des données hybrides multi-tenants
Activer HDS multi-tenant sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à utiliser HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous que vous avez terminé la configuration de votre cluster HDS multi-tenant avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS . |
Ajouter des organisations de tenants dans Partner Hub
Dans cette tâche, vous affectez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez qu'un client soit affecté. |
| 5 |
Allez à l'onglet Clients attribués . |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l’écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales du client (CMK) à l’aide de l’outil d’installation HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations de tenants dans Partner Hub. Exécutez l’outil d’installation HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passe de Gestion de CMK en attente à CMK géré. |
| 13 |
Si la création de CMK a échoué, une erreur s'affiche. |
Supprimer les organisations de tenants
Avant de commencer
Une fois supprimés, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de chiffrement et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou le gestionnaire de votre compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez Sécurité des données hybrides et cliquez sur Afficher tout. |
| 4 |
Sur l'onglet Ressources , cliquez sur le cluster à partir duquel vous souhaitez supprimer les organisations des clients. |
| 5 |
Dans la page qui s’ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations des clients qui sont affichées, cliquez sur ... sur le côté droit de l'organisation du client que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes, comme détaillé dans Révoquer les CMK des tenants supprimés de HDS.
Révoquer les CMK des tenants supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations des tenants. Exécutez l’outil d’installation HDS pour terminer le processus de suppression des organisations des clients qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local. Utilisez un navigateur Web pour aller à l’organisateur local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO , cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et chargez-le. |
| 11 |
Allez à l’onglet Gestion des CMK des tenants , où vous trouverez les trois façons suivantes de gérer les CMK des tenants.
|
| 12 |
Une fois la révocation de CMK réussie, l’organisation du client n’apparaît plus dans le tableau. |
| 13 |
Si la révocation de CMK échoue, une erreur s'affiche. |
Tester votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybrides multi-tenant.
-
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides multi-tenant.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs de l’organisation du client, puis créez un espace. Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides. |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu situé à gauche de l’écran. |
| 2 |
Dans la section Services du Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérer votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services sur le Cloud, recherchez la sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster . |
| 6 |
À la page Paramètres du cluster, sous Programmation de la mise à niveau, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour sur le jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les identifiants d’un compte Partner Hub avec des droits d’administrateur complet de partenaire.
Si vous n'avez pas de licence Docker Desktop, vous pouvez utiliser Podman Desktop pour exécuter l'outil d'installation HDS pour les étapes 1.a à 1.e dans la procédure ci-dessous. Voir Exécuter l’outil de configuration HDS en utilisant le bureau Podman pour plus de détails.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le à l'aide du nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité. |
Récupération après sinistre en utilisant le centre de données en veille
Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.
Avant de commencer
| 1 |
Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le Hub partenaire. Reportez-vous à Enregistrer le premier nœud dans le cluster. |
| 8 |
Répétez le processus pour chaque nœud dans le centre de données en veille. |
Que faire ensuite
(Facultatif) Démonter ISO après la configuration HDS
La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.
Avant de commencer
Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l'un de vos nœuds HDS. |
| 2 |
Dans l'appareil serveur vCenter, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO de la banque de données. |
| 4 |
Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération à tour de rôle pour chaque nœud HDS. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.
Alertes
S’il y a un problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activer HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations ajoutées |
Terminez l’installation en créant des CMK pour les organisations de tenants nouvellement ajoutées en utilisant l’outil d’installation HDS. |
|
L’installation de l’organisation du tenant n’est pas terminée pour les organisations supprimées |
Terminez l’installation en révoquant les CMK des organisations de tenants qui ont été supprimées à l’aide de l’outil d’installation HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez Partner Hub pour trouver des alertes et corrigez les éléments que vous y trouverez. Voir l’image ci-dessous pour référence. |
| 2 |
Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Partner Hub ou en arrêtant tous les nœuds), que vous perdez votre fichier ISO de configuration ou que vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de l’application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Exécuter l’outil de configuration HDS à l’aide du bureau Podman
Podman est un outil de gestion de conteneurs libre et open source qui permet d'exécuter, de gérer et de créer des conteneurs. Podman Desktop peut être téléchargé à partir de https://podman-desktop.io/downloads.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, téléchargez et exécutez Podman sur cette machine. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d’autorisation
-
-
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
Que faire ensuite
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier groupé de certificats appelé
|
| 4 |
Créez le fichier .p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 fichier et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:) requises par la sécurité des données hybrides. Ces sections fournissent des instructions sur la façon de configurer différentes versions de Squid pour ignorer le wss: trafic pour le bon fonctionnement des services.
Squid 4 et 5
Ajouter la on_unsupported_protocol directive à squid.conf :
on_unsupported_protocol tunnel allSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allInformations nouvelles et modifiées
Informations nouvelles et modifiées
Ce tableau couvre les nouvelles fonctionnalités, les modifications apportées au contenu existant et toutes les erreurs majeures qui ont été corrigées dans le Guide de déploiement pour la sécurité des données hybrides multilocataires.
|
Date |
Modifications apportées |
|---|---|
|
8 mai 2025 |
|
| 4 mars 2025 |
|
|
30 janvier 2025 |
Ajout de la version 2022 du serveur SQL à la liste des serveurs SQL pris en charge dans Exigences du serveur de base de données. |
|
15 janvier 2025 |
Ajout de Limitations de la sécurité des données hybrides multi-locataires. |
|
8 janvier 2025 |
Ajout d'une note dans Effectuer la configuration initiale et télécharger les fichiers d'installation indiquant que cliquer sur Configurer sur la carte HDS dans Partner Hub est une étape importante du processus d'installation. |
|
7 janvier 2025 |
Mise à jour Exigences de l'hôte virtuel, Flux de tâches de déploiement de la sécurité des données hybrideset Installation de l'OVA de l'hôte HDS pour afficher les nouvelles exigences d'ESXi 7.0. |
|
13 décembre 2024 |
Première publication. |
Désactiver la sécurité des données hybrides multi-locataires
Flux de tâches de désactivation HDS multi-locataire
Suivez ces étapes pour désactiver complètement Multi-Tenant HDS.
Avant de commencer
| 1 |
Supprimez tous les clients de tous vos clusters, comme mentionné dans Supprimer les organisations locataires. |
| 2 |
Révoquez les CMK de tous les clients, comme mentionné dans Révoquez les CMK des locataires supprimés de HDS.. |
| 3 |
Supprimez tous les nœuds de tous vos clusters, comme mentionné dans Supprimer un nœud. |
| 4 |
Supprimez tous vos clusters de Partner Hub en utilisant l’une des deux méthodes suivantes.
|
| 5 |
Cliquez sur l'onglet Paramètres sur la page de présentation de Hybrid Data Security et cliquez sur Désactiver HDS sur la carte Statut HDS. |
Démarrez avec la sécurité des données hybrides multi-locataires
Présentation de la sécurité des données hybrides multi-locataires
Dès le premier jour, la sécurité des données a été l’objectif principal de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l'application Webex interagissant avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.
Par défaut, tous les clients de l'application Webex bénéficient d'un cryptage de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.
La sécurité des données hybrides multi-locataires permet aux organisations de tirer parti de HDS via un partenaire local de confiance, qui peut agir en tant que fournisseur de services et gérer le cryptage sur site et d'autres services de sécurité. Cette configuration permet à l'organisation partenaire d'avoir un contrôle total sur le déploiement et la gestion des clés de chiffrement et garantit que les données utilisateur des organisations clientes sont protégées contre tout accès externe. Les organisations partenaires configurent des instances HDS et créent des clusters HDS selon les besoins. Chaque instance peut prendre en charge plusieurs organisations clientes, contrairement à un déploiement HDS classique qui est limité à une seule organisation.
Cela permet également aux petites organisations de tirer parti de HDS, puisque le service de gestion des clés et l'infrastructure de sécurité comme les centres de données appartiennent au partenaire local de confiance.
Comment la sécurité des données hybrides multi-locataires assure la souveraineté et le contrôle des données
- Le contenu généré par l'utilisateur est protégé contre tout accès externe, comme celui des fournisseurs de services cloud.
- Les partenaires locaux de confiance gèrent les clés de chiffrement des clients avec lesquels ils ont déjà une relation établie.
- Option de support technique local, si fourni par le partenaire.
- Prend en charge le contenu des réunions, de la messagerie et des appels.
Ce document vise à aider les organisations partenaires à configurer et à gérer les clients dans le cadre d'un système de sécurité des données hybride multi-locataires.
Limites de la sécurité des données hybrides multi-locataires
- Les organisations partenaires ne doivent avoir aucun déploiement HDS existant actif dans Control Hub.
- Les organisations locataires ou clientes qui souhaitent être gérées par un partenaire ne doivent pas avoir de déploiement HDS existant dans Control Hub.
- Une fois Multi-Tenant HDS déployé par le partenaire, tous les utilisateurs des organisations clientes ainsi que les utilisateurs de l'organisation partenaire commencent à exploiter Multi-Tenant HDS pour leurs services de chiffrement.
L'organisation partenaire et les organisations clientes qu'elles gèrent seront sur le même déploiement HDS multi-locataire.
L'organisation partenaire n'utilisera plus Cloud KMS après le déploiement de Multi-Tenant HDS.
- Il n’existe aucun mécanisme permettant de déplacer les clés vers Cloud KMS après un déploiement HDS.
- Actuellement, chaque déploiement HDS multi-locataire ne peut avoir qu'un seul cluster, avec plusieurs nœuds en dessous.
- Les rôles d’administrateur ont certaines limitations ; consultez la section ci-dessous pour plus de détails.
Rôles dans la sécurité des données hybrides multi-locataires
- Partenaire Administrateur complet - Peut gérer les paramètres de tous les clients gérés par le partenaire. Il est également possible d’attribuer des rôles d’administrateur à des utilisateurs existants dans l’organisation et d’affecter des clients spécifiques qui seront gérés par des administrateurs partenaires.
- Administrateur partenaire - Peut gérer les paramètres des clients que l'administrateur a provisionnés ou qui ont été attribués à l'utilisateur.
- Administrateur complet - Administrateur de l'organisation partenaire autorisé à effectuer des tâches telles que la modification des paramètres de l'organisation, la gestion des licences et l'attribution de rôles.
- Configuration et gestion HDS multi-locataires de bout en bout de toutes les organisations clientes - Droits d'administrateur complet et d'administrateur complet du partenaire requis.
- Gestion des organisations locataires attribuées - Droits d'administrateur partenaire et d'administrateur complet requis.
Architecture du domaine de sécurité
L'architecture cloud Webex sépare différents types de services en domaines distincts, ou domaines de confiance, comme illustré ci-dessous.
Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas de cloud pur, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.
Dans ce diagramme, le client est l'application Webex exécutée sur l'ordinateur portable d'un utilisateur et s'est authentifié auprès du service d'identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :
-
le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
-
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
-
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
-
le message chiffré est stocké dans le domaine de stockage.
Lorsque vous déployez Hybrid Data Security, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris l'identité et le stockage de contenu) restent dans le domaine de Cisco.
Collaborer avec d'autres organisations
Les utilisateurs de votre organisation peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu'une autre organisation possède la clé de l'espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH distinct pour obtenir la clé du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d'origine.
Le service KMS exécuté sur l'organisation A valide les connexions aux KMS d'autres organisations à l'aide de certificats PKI x.509. Consultez Préparez votre environnement pour plus de détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybride multi-locataire.
Attentes pour déployer la sécurité des données hybrides
Un déploiement de sécurité des données hybrides nécessite un engagement important et une prise de conscience des risques liés à la possession de clés de chiffrement.
Pour déployer Hybrid Data Security, vous devez fournir :
-
Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les plans Cisco Webex Teams.
-
L'équipement, les logiciels et l'accès au réseau décrits dans Préparez votre environnement.
La perte complète de la configuration ISO que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l'espace et d'autres données chiffrées dans l'application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :
-
gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
-
Soyez prêt à effectuer une récupération rapide après sinistre si une catastrophe se produit, comme une panne de disque de base de données ou une catastrophe du centre de données.
Il n’existe aucun mécanisme permettant de déplacer les clés vers le Cloud après un déploiement HDS.
Processus de configuration de haut niveau
Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybride multi-locataires :
-
Configurer la sécurité des données hybrides— Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, la création d'un cluster HDS, l'ajout d'organisations locataires au cluster et la gestion de leurs clés principales client (CMK). Cela permettra à tous les utilisateurs de vos organisations clientes d'utiliser votre cluster Hybrid Data Security pour les fonctions de sécurité.
Les phases de configuration, d’activation et de gestion sont traitées en détail dans les trois chapitres suivants.
-
Maintenez votre déploiement de sécurité des données hybrides— Le cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser des notifications à l'écran et configurer des alertes par e-mail dans Partner Hub.
-
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus— Si vous rencontrez des difficultés lors du déploiement ou de l'utilisation de Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.
Guide de déploiement de sécurité des données hybrides
Au sein de votre centre de données d’entreprise, vous déployez Hybrid Data Security en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le cloud Webex via des websockets sécurisés et HTTP sécurisé.
Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster Hybrid Data Security utilise votre serveur Syslogd fourni et votre base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)
Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d’avoir plusieurs nœuds garantit que le service n’est pas interrompu pendant une mise à niveau logicielle ou une autre activité de maintenance sur un nœud. (Le cloud Webex ne met à niveau qu'un seul nœud à la fois.)
Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.
Les nœuds deviennent actifs lorsque vous les enregistrez dans Partner Hub. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.
Centre de données de secours pour la reprise après sinistre
Lors du déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre dans un centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.
Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui minimisera le temps nécessaire pour effectuer le basculement.
Les nœuds Hybrid Data Security actifs doivent toujours se trouver dans le même centre de données que le serveur de base de données actif.
Prise en charge du proxy
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy— Valeur par défaut si vous n'utilisez pas le Trust Store de configuration du nœud HDS & Configuration du proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy transparent non inspectant— Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne devraient nécessiter aucune modification pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est requise.
-
Tunneling transparent ou proxy d'inspection— Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite— Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et quel schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
Procuration IP/FQDN— Adresse qui peut être utilisée pour atteindre la machine proxy.
-
Port proxy— Un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy— En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d'authentification— Choisissez parmi les types d'authentification suivants :
-
Aucun— Aucune authentification supplémentaire n’est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basic— Utilisé pour qu'un agent utilisateur HTTP fournisse un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Digest— Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
Préparer votre environnement
Exigences relatives à la sécurité des données hybrides multi-locataires
Exigences de licence Cisco Webex
Pour déployer la sécurité des données hybrides multi-locataires :
-
Organisations partenaires : Contactez votre partenaire Cisco ou votre gestionnaire de compte et assurez-vous que la fonctionnalité Multi-Tenant est activée.
-
Organisations de locataires : Vous devez disposer du pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)
Configuration requise pour Docker Desktop
Avant d’installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d’installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».
Les clients sans licence Docker Desktop peuvent utiliser un outil de gestion de conteneurs open source comme Podman Desktop pour exécuter, gérer et créer des conteneurs. Voir Exécuter l'outil de configuration HDS à l'aide de Podman Desktop pour plus de détails.
Exigences du certificat X.509
La chaîne de certificats doit répondre aux exigences suivantes :
|
Signé par une autorité de certification (CA) de confiance |
Détails |
|---|---|
|
Par défaut, nous faisons confiance aux autorités de certification de la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs. |
|
Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, Le CN ne doit pas contenir de * (caractère générique). Le CN est utilisé pour vérifier les nœuds de sécurité des données hybrides auprès des clients de l'application Webex. Tous les nœuds Hybrid Data Security de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. |
|
Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations. |
|
Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS. |
Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.
Exigences de l'hôte virtuel
Les hôtes virtuels que vous configurerez en tant que nœuds Hybrid Data Security dans votre cluster ont les exigences suivantes :
-
Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
-
VMware ESXi 7.0 ou 8.0 installé et en cours d'exécution.
Vous devez effectuer une mise à niveau si vous disposez d’une version antérieure d’ESXi.
-
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur
Configuration requise pour le serveur de base de données
Créez une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.
Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage) |
Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Pilote JDBC Postgres 42.2.5 |
Pilote JDBC SQL Server 4.6 Cette version du pilote prend en charge SQL Server Always On ( Always On Failover Cluster Instances et Always On availability groups). |
Exigences supplémentaires pour l'authentification Windows auprès de Microsoft SQL Server
Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données de clés sur Microsoft SQL Server, vous avez besoin de la configuration suivante dans votre environnement :
-
Les nœuds HDS, l’infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
-
Le compte Windows que vous fournissez aux nœuds HDS doit avoir read/write accès à la base de données.
-
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
-
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL Server en tant que nom principal de service (SPN) sur votre Active Directory. Voir Enregistrer un nom principal de service pour les connexions Kerberos.
L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du magasin de clés. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.
Exigences de connectivité externe
Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :
|
Application |
Protocole |
Port |
Direction depuis l'application |
Destination |
|---|---|---|---|---|
|
Nœuds de sécurité des données hybrides |
TCP |
443 |
Sortie HTTPS et WSS |
|
|
Outil de configuration HDS |
TCP |
443 |
HTTPS sortant |
|
Les nœuds Hybrid Data Security fonctionnent avec la traduction d'accès réseau (NAT) ou derrière un pare-feu, à condition que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations de domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds Hybrid Data Security, aucun port ne doit être visible depuis Internet. Au sein de votre centre de données, les clients doivent accéder aux nœuds Hybrid Data Security sur les ports TCP 443 et 22, à des fins administratives.
Les URL des hôtes d’identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :
|
Région |
URL d'hôte d'identité commune |
|---|---|
|
Amériques |
|
|
Union européenne |
|
|
Canada |
|
| Singapour |
|
| Emirats arabes unis |
|
Configuration requise du serveur proxy
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement du websocket (wss:) relations. Pour contourner ce problème, consultez Configurer les proxys Squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le contournement (sans inspection) du trafic vers
wbx2.cometciscospark.comrésoudra le problème.
Remplissez les conditions préalables pour la sécurité des données hybrides
| 1 |
Assurez-vous que votre organisation partenaire a activé la fonctionnalité HDS multi-locataires et obtenez les informations d'identification d'un compte avec les droits d'administrateur complet et d'administrateur complet du partenaire. Assurez-vous que votre organisation cliente Webex est activée pour Pro Pack pour Cisco Webex Control Hub. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide. Les organisations clientes ne doivent pas disposer de déploiement HDS existant. |
| 2 |
Choisissez un nom de domaine pour votre déploiement HDS (par exemple, |
| 3 |
Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds Hybrid Data Security dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de Exigences relatives aux hôtes virtuels. |
| 4 |
Préparez le serveur de base de données qui servira de magasin de données clés pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. |
| 5 |
Pour une récupération rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. |
| 6 |
Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514). |
| 7 |
Créez une politique de sauvegarde sécurisée pour les nœuds Hybrid Data Security, le serveur de base de données et l’hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds Hybrid Data Security. Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, l'échec du maintien d'un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l'application Webex mettent en cache leurs clés, de sorte qu'une panne peut ne pas être immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent effectuer des sauvegardes fréquentes de la base de données et du fichier ISO de configuration, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique. |
| 8 |
Assurez-vous que la configuration de votre pare-feu autorise la connectivité pour vos nœuds de sécurité des données hybrides comme indiqué dans Exigences de connectivité externe. |
| 9 |
Installez Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professionnel ou Entreprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou supérieur) avec un navigateur Web pouvant y accéder à http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui crée les informations de configuration locales pour tous les nœuds Hybrid Data Security. Vous pourriez avoir besoin d’une licence Docker Desktop. Consultez Configuration requise pour Docker Desktop pour plus d'informations. Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe. |
| 10 |
Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy. |
Mettre en place un cluster de sécurité des données hybrides
Flux de tâches de déploiement de la sécurité des données hybrides
| 1 |
Effectuer la configuration initiale et télécharger les fichiers d'installation Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure. |
| 2 |
Créer une configuration ISO pour les hôtes HDS Utilisez l’outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds Hybrid Data Security. |
| 3 |
Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau. L'option de configuration des paramètres réseau lors du déploiement d'OVA a été testée avec ESXi 7.0 et 8.0. L'option peut ne pas être disponible dans les versions antérieures. |
| 4 |
Configurer la machine virtuelle de sécurité des données hybrides Connectez-vous à la console VM et définissez les informations d’identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement d'OVA. |
| 5 |
Téléchargez et montez l'ISO de configuration HDS Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l’outil de configuration HDS. |
| 6 |
Configurer le nœud HDS pour l’intégration du proxy Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin de confiance si nécessaire. |
| 7 |
Enregistrer le premier nœud du cluster Enregistrez la machine virtuelle auprès du cloud Cisco Webex en tant que nœud de sécurité des données hybrides. |
| 8 |
Créer et enregistrer plus de nœuds Terminez la configuration du cluster. |
| 9 |
Activez Multi-Tenant HDS sur Partner Hub. Activez HDS et gérez les organisations locataires sur Partner Hub. |
Effectuer la configuration initiale et télécharger les fichiers d'installation
Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous avez configurés en tant que nœuds Hybrid Data Security). Vous utilisez ce fichier plus tard dans le processus d'installation.
| 1 |
Connectez-vous à Partner Hub, puis cliquez sur Services. |
| 2 |
Dans la section Services Cloud, recherchez la carte Sécurité des données hybrides, puis cliquez sur Configurer. Cliquer sur Configurer dans Partner Hub est essentiel au processus de déploiement. Ne procédez pas à l’installation sans avoir terminé cette étape. |
| 3 |
Cliquez sur Ajouter une ressource et cliquez sur Télécharger le fichier .OVA sur la carte Installer et configurer le logiciel. Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à niveau de Hybrid Data Security. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA. Vous pouvez également télécharger l'OVA à tout moment depuis la section Aide. Cliquez sur . Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
|
| 4 |
Vous pouvez également cliquer sur Voir le guide de déploiement de la sécurité des données hybrides pour vérifier si une version ultérieure de ce guide est disponible. |
Créer une configuration ISO pour les hôtes HDS
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l’ISO pour configurer votre hôte Hybrid Data Security.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus de configuration nécessite les informations d’identification d’un compte Partner Hub avec des droits d’administrateur complets.
Si vous ne disposez pas d’une licence Docker Desktop, vous pouvez utiliser Podman Desktop pour exécuter l’outil de configuration HDS pour les étapes 1 à 5 de la procédure ci-dessous. Voir Exécuter l'outil de configuration HDS à l'aide de Podman Desktop pour plus de détails.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de la création du conteneur Docker à l'étape 5 ci-dessous. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions à la base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. | ||||||||||
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : | ||||||||||
| 3 |
À l’invite du mot de passe, saisissez ce hachage : | ||||||||||
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : | ||||||||||
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » | ||||||||||
| 6 |
L'outil de configuration ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost. Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. | ||||||||||
| 7 |
Lorsque vous y êtes invité, saisissez vos informations de connexion d'administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour Hybrid Data Security. | ||||||||||
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. | ||||||||||
| 9 |
Sur la page Importation ISO, vous avez ces options :
| ||||||||||
| 10 |
Vérifiez que votre certificat X.509 répond aux exigences de Exigences relatives au certificat X.509.
| ||||||||||
| 11 |
Saisissez l'adresse de la base de données et le compte pour que HDS puisse accéder à votre banque de données de clés : | ||||||||||
| 12 |
Sélectionnez un mode de connexion à la base de données TLS:
Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.) | ||||||||||
| 13 |
Sur la page Journaux système, configurez votre serveur Syslogd : | ||||||||||
| 14 |
(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaiterez peut-être modifier : | ||||||||||
| 15 |
Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service. Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe approchent de leur expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents. | ||||||||||
| 16 |
Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver. | ||||||||||
| 17 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde en lieu sûr. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès uniquement aux administrateurs de sécurité des données hybrides qui doivent apporter des modifications de configuration. | ||||||||||
| 18 |
Pour fermer l’outil de configuration, tapez |
Que faire ensuite
Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer davantage de nœuds pour la récupération ou pour apporter des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. La récupération des clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.
Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.
Installer l'OVA de l'hôte HDS
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi. |
| 2 |
Sélectionnez FichierDéployer le modèle OVF… |
| 3 |
Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant. |
| 4 |
Sur la page Sélectionner un nom et un dossier, entrez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de machine virtuelle peut résider, puis cliquez sur Suivant. |
| 5 |
Sur la page Sélectionner une ressource de calcul, choisissez la ressource de calcul de destination, puis cliquez sur Suivant. Un contrôle de validation est exécuté. Une fois terminé, les détails du modèle apparaissent. |
| 6 |
Vérifiez les détails du modèle, puis cliquez sur Suivant. |
| 7 |
Si vous êtes invité à choisir la configuration des ressources sur la page Configuration, cliquez sur 4 CPU puis sur Suivant. |
| 8 |
Sur la page Sélectionner le stockage, cliquez sur Suivant pour accepter le format de disque par défaut et la stratégie de stockage de la machine virtuelle. |
| 9 |
Sur la page Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle. |
| 10 |
Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :
Si vous le souhaitez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes de Configurer la machine virtuelle Hybrid Data Security pour configurer les paramètres à partir de la console du nœud. L'option de configuration des paramètres réseau lors du déploiement d'OVA a été testée avec ESXi 7.0 et 8.0. L'option peut ne pas être disponible dans les versions antérieures. |
| 11 |
Cliquez avec le bouton droit sur le nœud VM, puis choisissez . Le logiciel Hybrid Data Security est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud. Astuces de dépannage Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter. |
Configurer la machine virtuelle de sécurité des données hybrides
Utilisez cette procédure pour vous connecter à la console de la machine virtuelle du nœud Hybrid Data Security pour la première fois et définir les informations d’identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement d'OVA.
| 1 |
Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
|
| 2 |
Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification : Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur. |
| 3 |
Si vous avez déjà configuré les paramètres réseau dans Installer l'hôte HDS OVA, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration. |
| 4 |
Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge. |
| 5 |
(Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau. Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509. |
| 6 |
Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet. |
Téléchargez et montez l'ISO de configuration HDS
Avant de commencer
Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin de savoir », pour l'accès par les machines virtuelles Hybrid Data Security et tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.
| 1 |
Téléchargez le fichier ISO depuis votre ordinateur: |
| 2 |
Monter le fichier ISO : |
Que faire ensuite
Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont récupéré les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
Configurer le nœud HDS pour l’intégration du proxy
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
| 1 |
Saisissez l'URL de configuration du nœud HDS |
| 2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
| 3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
| 4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
| 5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
| 6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
| 7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Enregistrer le premier nœud du cluster
Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Assurez-vous que tous les bloqueurs de fenêtres contextuelles de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services Cloud, recherchez la carte Sécurité des données hybrides et cliquez sur Configurer. |
| 4 |
Dans la page qui s'ouvre, cliquez sur Ajouter une ressource. |
| 5 |
Dans le premier champ de la carte Ajouter un nœud, saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud Hybrid Data Security. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : « San Francisco » ou « New York » ou « Dallas » |
| 6 |
Dans le deuxième champ, entrez l'adresse IP interne ou le nom de domaine complet (FQDN) de votre nœud et cliquez sur Ajouter en bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle Hybrid Data Security. Un message apparaît indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 7 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité des nœuds pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 8 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est désormais enregistré sur le cloud Webex.
|
| 9 |
Cliquez sur le lien ou fermez l'onglet pour revenir à la page Sécurité des données hybrides du Partner Hub. Sur la page Hybrid Data Security, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources. Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
Créer et enregistrer plus de nœuds
Avant de commencer
-
Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
-
Assurez-vous que tous les bloqueurs de fenêtres contextuelles de votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.
| 1 |
Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes de Installer l'hôte HDS OVA. |
| 2 |
Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes de Configurer la machine virtuelle Hybrid Data Security. |
| 3 |
Sur la nouvelle machine virtuelle, répétez les étapes de Télécharger et monter l'ISO de configuration HDS. |
| 4 |
Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy selon les besoins pour le nouveau nœud. |
| 5 |
Enregistrer le nœud. |
Gérer les organisations locataires sur la sécurité des données hybrides multi-locataires
Activer le HDS multi-locataire sur Partner Hub
Cette tâche garantit que tous les utilisateurs des organisations clientes peuvent commencer à exploiter HDS pour les clés de chiffrement sur site et d’autres services de sécurité.
Avant de commencer
Assurez-vous d’avoir terminé la configuration de votre cluster HDS multi-locataire avec le nombre de nœuds requis.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. |
| 4 |
Cliquez sur Activer HDS sur la carte Statut HDS. |
Ajouter des organisations locataires dans Partner Hub
Dans cette tâche, vous attribuez des organisations clientes à votre cluster de sécurité des données hybrides.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services Cloud, recherchez Sécurité des données hybrides et cliquez sur Tout afficher. |
| 4 |
Cliquez sur le cluster auquel vous souhaitez attribuer un client. |
| 5 |
Accédez à l'onglet Clients attribués. |
| 6 |
Cliquez sur Ajouter des clients. |
| 7 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 8 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 9 |
Répétez les étapes 6 à 8 pour ajouter plusieurs clients à votre cluster. |
| 10 |
Cliquez sur Terminé en bas de l'écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Créer des clés principales client (CMK) à l'aide de l'outil de configuration HDS
Avant de commencer
Affectez les clients au cluster approprié comme détaillé dans Ajouter des organisations locataires dans Partner Hub. Exécutez l’outil de configuration HDS pour terminer le processus de configuration des organisations clientes nouvellement ajoutées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus de configuration nécessite les informations d’identification d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de la création du conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions à la base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l’ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost. Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos informations de connexion d'administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour Hybrid Data Security. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO, cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. Assurez la connectivité à votre base de données pour effectuer la gestion CMK. |
| 11 |
Accédez à l'onglet Gestion des CMK du locataire, où vous trouverez les trois méthodes suivantes pour gérer les CMK du locataire.
|
| 12 |
Une fois la création de CMK réussie, le statut dans le tableau passera de Gestion CMK en attente à Gestion CMK. |
| 13 |
Si la création de CMK échoue, une erreur s'affichera. |
Supprimer les organisations de locataires
Avant de commencer
Une fois supprimé, les utilisateurs des organisations clientes ne pourront pas exploiter HDS pour leurs besoins de cryptage et perdront tous les espaces existants. Avant de supprimer des organisations clientes, veuillez contacter votre partenaire Cisco ou votre gestionnaire de compte.
| 1 |
Connectez-vous à https://admin.webex.com. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services Cloud, recherchez Sécurité des données hybrides et cliquez sur Tout afficher. |
| 4 |
Dans l’onglet Ressources, cliquez sur le cluster duquel vous souhaitez supprimer les organisations clientes. |
| 5 |
Dans la page qui s'ouvre, cliquez sur Clients attribués. |
| 6 |
Dans la liste des organisations clientes affichées, cliquez sur ... sur le côté droit de l'organisation cliente que vous souhaitez supprimer et cliquez sur Supprimer du cluster. |
Que faire ensuite
Terminez le processus de suppression en révoquant les CMK des organisations clientes comme détaillé dans Révoquer les CMK des locataires supprimés de HDS.
Révoquer les CMK des locataires supprimés de HDS.
Avant de commencer
Supprimez les clients du cluster approprié comme détaillé dans Supprimer les organisations locataires. Exécutez l’outil de configuration HDS pour terminer le processus de suppression des organisations clientes qui ont été supprimées.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus de configuration nécessite les informations d’identification d’un compte Partner Hub avec des droits d’administrateur complets pour votre organisation.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de la création du conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions à la base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l’ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
| 6 |
L'outil de configuration ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost. Utilisez un navigateur Web pour accéder à l'hôte local, L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard. |
| 7 |
Lorsque vous y êtes invité, saisissez vos informations de connexion d'administrateur Partner Hub, puis cliquez sur Se connecter pour autoriser l'accès aux services requis pour Hybrid Data Security. |
| 8 |
Dans la page de présentation de l'outil de configuration, cliquez sur Commencer. |
| 9 |
Sur la page Importation ISO, cliquez sur Oui. |
| 10 |
Sélectionnez votre fichier ISO dans le navigateur et téléchargez-le. |
| 11 |
Accédez à l'onglet Gestion des CMK du locataire, où vous trouverez les trois méthodes suivantes pour gérer les CMK du locataire.
|
| 12 |
Une fois la révocation CMK réussie, l’organisation cliente n’apparaîtra plus dans le tableau. |
| 13 |
Si la révocation CMK échoue, une erreur s'affichera. |
Testez votre déploiement de sécurité des données hybrides
Tester le déploiement de sécurité de vos données hybrides
Avant de commencer
-
Configurez votre déploiement de sécurité des données hybride multi-locataire.
-
Assurez-vous d’avoir accès au syslog pour vérifier que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides multi-locataires.
| 1 |
Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant qu’utilisateur de l’organisation cliente, puis créez un espace. Si vous désactivez le déploiement de Hybrid Data Security, le contenu des espaces créés par les utilisateurs n'est plus accessible une fois que les copies mises en cache par le client des clés de chiffrement sont remplacées. |
| 2 |
Envoyer des messages au nouvel espace. |
| 3 |
Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement Hybrid Data Security. Si un utilisateur d'une organisation cliente nouvellement ajoutée effectue une action, l'ID d'organisation de l'organisation apparaîtra dans les journaux, ce qui peut être utilisé pour vérifier que l'organisation exploite Multi-Tenant HDS. Vérifiez la valeur de |
Contrôler l'intégrité de la sécurité des données hybrides
| 1 |
Dans Partner Hub, sélectionnez Services dans le menu sur le côté gauche de l'écran. |
| 2 |
Dans la section Services Cloud, recherchez Sécurité des données hybrides et cliquez sur Modifier les paramètres. La page Paramètres des données hybrides s'affiche.
|
| 3 |
Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée. |
Gérez votre déploiement HDS
Gérer le déploiement HDS
Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.
Configurer un calendrier de mise à niveau des clusters
Pour configurer le calendrier de mise à niveau :
| 1 |
Connectez-vous au Hub partenaire. |
| 2 |
Dans le menu situé à gauche de l'écran, sélectionnez de services . |
| 3 |
Dans la section Services Cloud, recherchez Hybrid Data Security et cliquez sur Configurer |
| 4 |
Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster. |
| 5 |
Cliquez sur l'onglet Paramètres du cluster. |
| 6 |
Sur la page Paramètres du cluster, sous Planification de la mise à niveau, sélectionnez l’heure et le fuseau horaire pour la planification de la mise à niveau. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à niveau au jour suivant, si nécessaire, en cliquant sur Reporter de 24 heures. |
Changer la configuration du nœud
-
La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.
Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.
-
La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.
Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.
-
Créer une nouvelle configuration pour préparer un nouveau centre de données.
De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :
-
Réinitialisation logicielle— Les anciens et les nouveaux mots de passe fonctionnent tous deux jusqu'à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
-
Réinitialisation matérielle— Les anciens mots de passe cessent de fonctionner immédiatement.
Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.
Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.
Avant de commencer
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus de configuration nécessite les informations d'identification d'un compte Partner Hub avec des droits d'administrateur complets.
Si vous ne disposez pas d'une licence Docker Desktop, vous pouvez utiliser Podman Desktop pour exécuter l'outil de configuration HDS pour les étapes 1.a à 1.e de la procédure ci-dessous. Voir Exécuter l'outil de configuration HDS à l'aide de Podman Desktop pour plus de détails.
Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de la création du conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.
| 1 |
En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS. |
| 2 |
Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle machine virtuelle de nœud Hybrid Data Security et enregistrez-la à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds. |
| 3 |
Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant : |
| 4 |
répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration. |
Désactiver le mode de résolution DNS externe bloqué
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.
Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.
Avant de commencer
| 1 |
Dans un navigateur Web, ouvrez l'interface du nœud Hybrid Data Security (IP address/setup, par exemple, https://192.0.2.0/setup), entrez les informations d'identification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter. |
| 2 |
Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui. |
| 3 |
Allez à la page proxy de la Banque de confiance & . |
| 4 |
Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non. |
Que faire ensuite
Supprimer un nœud
| 1 |
Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle. |
| 2 |
Supprimer le nœud : |
| 3 |
Dans le client vSphere, supprimez la machine virtuelle. (Dans le volet de navigation de gauche, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Supprimer.) Si vous ne supprimez pas la VM, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité. |
Reprise après sinistre à l'aide d'un centre de données de secours
Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour crypter les messages et autres contenus stockés dans le cloud Webex. Pour chaque utilisateur au sein de l’organisation affecté à Hybrid Data Security, de nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.
Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données Hybrid Data Security ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :
Si une catastrophe entraîne l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.
Avant de commencer
| 1 |
Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS. |
| 2 |
Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver. |
| 3 |
Faites une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde en lieu sûr. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès uniquement aux administrateurs de sécurité des données hybrides qui doivent apporter des modifications de configuration. |
| 4 |
Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres. |
| 5 |
Cliquez sur Modifier les paramètres >CD/DVD Lecteur 1 et sélectionnez Fichier ISO du magasin de données. Assurez-vous que Connecté et Connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds. |
| 6 |
Allumez le nœud HDS et assurez-vous qu’il n’y a pas d’alarme pendant au moins 15 minutes. |
| 7 |
Enregistrez le nœud dans le hub Partenaire. Référez-vous à Enregistrez le premier nœud du cluster. |
| 8 |
Répétez le processus pour chaque nœud du centre de données de secours. |
Que faire ensuite
(Facultatif) Démonter l'ISO après la configuration HDS
La configuration HDS standard fonctionne avec l'ISO monté. Mais certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.
Vous utilisez toujours les fichiers ISO pour apporter des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont récupéré les modifications de configuration, vous pouvez à nouveau démonter l'ISO avec cette procédure.
Avant de commencer
Mettez à niveau tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.
| 1 |
Arrêtez l’un de vos nœuds HDS. |
| 2 |
Dans vCenter Server Appliance, sélectionnez le nœud HDS. |
| 3 |
Choisissez et décochez Fichier ISO du magasin de données. |
| 4 |
Allumez le nœud HDS et assurez-vous qu'il n'y a pas d'alarme pendant au moins 20 minutes. |
| 5 |
Répétez l'opération pour chaque nœud HDS à tour de rôle. |
Dépannage de la sécurité des données hybrides
Afficher les alertes et dépannage
Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles ou si le cluster fonctionne si lentement que les demandes expirent. Si les utilisateurs ne peuvent pas accéder à votre cluster Hybrid Data Security, ils rencontrent les symptômes suivants :
-
Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
-
Les messages et les espaces ne parviennent pas à décrypter pour :
-
les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)
-
les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)
-
-
Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement
Il est important de surveiller correctement votre cluster de sécurité des données hybrides et de répondre rapidement à toutes les alertes pour éviter toute interruption de service.
Alertes
En cas de problème avec la configuration de la sécurité des données hybrides, Partner Hub affiche des alertes à l'administrateur de l'organisation et envoie des e-mails à l'adresse e-mail configurée. Les alertes couvrent de nombreux scénarios courants.
|
Alerte |
Action |
|---|---|
|
Échec d'accès à la base de données locale. |
Vérifiez les erreurs de la base de données ou les problèmes de réseau local. |
|
Échec de la connexion à la base de données locale. |
Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud. |
|
Échec de l'accès au service du Cloud. |
Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe. |
|
Renouvellement de l'enregistrement du service du Cloud. |
L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours. |
|
L'enregistrement du service du Cloud s'est arrêté. |
L'inscription aux services du Cloud est terminée. Le service est en train de fermer. |
|
Le service n'est pas encore activé. |
Activez HDS dans Partner Hub. |
|
Le domaine configuré ne correspond pas au certificat du serveur. |
Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale. |
|
Échec de l'authentification auprès des services du Cloud. |
Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service. |
|
Impossible d'ouvrir le fichier de magasin de clés local. |
Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local. |
|
Le certificat du serveur local n'est pas valide. |
Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée. |
|
Impossible de publier des statistiques. |
Vérifiez l'accès au réseau local aux services du Cloud externes. |
|
Le répertoire /media/configdrive/hds n'existe pas. |
Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement. |
|
La configuration de l'organisation locataire n'est pas terminée pour les organisations ajoutées |
Configuration complète en créant des CMK pour les organisations locataires nouvellement ajoutées à l'aide de l'outil de configuration HDS. |
|
La configuration de l'organisation locataire n'est pas terminée pour les organisations supprimées |
Configuration complète en révoquant les CMK des organisations locataires qui ont été supprimées à l'aide de l'outil de configuration HDS. |
Dépannage de la sécurité des données hybrides
| 1 |
Consultez le Partner Hub pour connaître les alertes et corrigez les éléments que vous y trouvez. Voir l'image ci-dessous pour référence. |
| 2 |
Consultez la sortie du serveur Syslog pour connaître l’activité du déploiement de Hybrid Data Security. Filtrez les mots tels que « Avertissement » et « Erreur » pour faciliter le dépannage. |
| 3 |
Contacter l'Assistance Cisco. |
Autres notes
Problèmes connus avec la sécurité des données hybrides
-
Si vous arrêtez votre cluster Hybrid Data Security (en le supprimant dans Partner Hub ou en arrêtant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l'accès à la base de données du magasin de clés, les utilisateurs de l'application Webex des organisations clientes ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec des clés de votre KMS. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.
-
Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure).
Exécutez l'outil de configuration HDS à l'aide de Podman Desktop
Podman est un outil de gestion de conteneurs gratuit et open source qui fournit un moyen d'exécuter, de gérer et de créer des conteneurs. Podman Desktop peut être téléchargé à partir de https://podman-desktop.io/downloads.
-
L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, téléchargez et exécutez Podman sur cette machine. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.
Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lors de la création du conteneur Docker à l’étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :
Description
Variable
Proxy HTTP sans authentification
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sans authentification
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP avec authentification
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS avec authentification
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :
-
Informations d'identification de la base de données
-
Mises à jour des certificats
-
Modifications de la politique d'autorisation
-
-
Si vous prévoyez de chiffrer les connexions à la base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.
Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l’ISO pour configurer votre hôte Hybrid Data Security.
| 1 |
À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer. |
| 2 |
Pour vous connectez au registre d’image Docker, saisissez ce qui suit : |
| 3 |
À l’invite du mot de passe, saisissez ce hachage : |
| 4 |
Téléchargez la dernière image stable pour votre environnement : Dans les environnements réguliers : Dans les environnements FedRAMP : |
| 5 |
Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :
Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. » |
Que faire ensuite
Déplacer le déploiement HDS à locataire unique existant d'une organisation partenaire dans Control Hub vers une configuration HDS multi-locataire dans Partner Hub
La conversion d'un déploiement HDS à locataire unique existant d'une organisation partenaire gérée dans Control Hub vers un déploiement HDS multi-locataire géré dans Partner Hub implique principalement la désactivation du service HDS dans Control Hub, la désinscription des nœuds et la suppression du cluster. Vous pouvez ensuite vous connecter à Partner Hub, enregistrer les nœuds, activer Multi-Tenant HDS et ajouter des clients à votre cluster.
Le terme « locataire unique » fait simplement référence à un déploiement HDS existant dans Control Hub.
Désactiver HDS, désenregistrer les nœuds et supprimer le cluster dans Control Hub
| 1 |
Connectez-vous à Control Hub. Dans le volet de gauche, cliquez sur Hybride. Sur la carte Sécurité des données hybrides, cliquez sur Modifier les paramètres. |
| 2 |
Sur la page des paramètres, faites défiler jusqu'à la section Désactiver et cliquez sur Désactiver. |
| 3 |
Après la désactivation, cliquez sur l'onglet Ressources. |
| 4 |
La page Ressources répertorie les clusters de votre déploiement HDS. Cliquez sur un cluster, une page s'ouvre avec tous les nœuds sous ce cluster. |
| 5 |
Cliquez sur ... à droite et cliquez sur Désenregistrer le nœud. Répétez le processus pour tous les nœuds du cluster. |
| 6 |
Si votre déploiement comporte plusieurs clusters, répétez les étapes 4 et 5 jusqu’à ce que tous les nœuds soient désenregistrés. |
| 7 |
Cliquez sur Paramètres du cluster > Retirer. |
| 8 |
Cliquez sur Confirmer la suppression pour désenregistrer le cluster. |
| 9 |
Répétez le processus pour tous les clusters de votre déploiement HDS. Après la désactivation du HDS, la désinscription des nœuds et la suppression des clusters, la carte Hybrid Data Service sur Control Hub affichera Configuration non terminée en bas. |
Activez Multi-Tenant HDS pour l'organisation partenaire sur Partner Hub et ajoutez des clients
Avant de commencer
Tous les prérequis mentionnés dans Exigences pour la sécurité des données hybrides multi-locataires sont applicables ici. De plus, assurez-vous que la même base de données et les mêmes certificats sont utilisés lors du déplacement vers Multi-Tenant HDS.
| 1 |
Connectez-vous au Partner Hub. Cliquez sur Services dans le volet de gauche. Utilisez le même ISO de votre déploiement HDS précédent pour configurer les nœuds. Cela garantira que les messages et le contenu générés par les utilisateurs dans le déploiement HDS existant précédent sont toujours accessibles dans la nouvelle configuration multi-locataire. |
| 2 |
Dans la section Services Cloud, recherchez la carte Sécurité des données hybrides et cliquez sur Configurer. |
| 3 |
Dans la page qui s'ouvre, cliquez sur Ajouter une ressource. |
| 4 |
Dans le premier champ de la carte Ajouter un nœud, saisissez un nom pour le cluster auquel vous souhaitez attribuer votre nœud Hybrid Data Security. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : « San Francisco » ou « New York » ou « Dallas » |
| 5 |
Dans le deuxième champ, entrez l'adresse IP interne ou le nom de domaine complet (FQDN) de votre nœud et cliquez sur Ajouter en bas de l'écran. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle Hybrid Data Security. Un message apparaît indiquant que vous pouvez enregistrer votre nœud sur Webex.
|
| 6 |
Cliquez sur Aller sur le nœud. Après quelques instants, vous êtes redirigé vers les tests de connectivité des nœuds pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud. |
| 7 |
Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est désormais enregistré sur Webex Cloud. Sur la page Hybrid Data Security, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche sous l'onglet Ressources. Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.
|
| 8 |
Accédez à l’onglet Paramètres et cliquez sur Activer sur la carte Statut HDS. Le message HDS activé apparaîtra en bas de l'écran.
|
| 9 |
Dans les Ressources, cliquez sur le cluster nouvellement créé. |
| 10 |
Sur la page qui s'ouvre, cliquez sur l'onglet Clients attribués. |
| 11 |
Cliquez sur Ajouter des clients. |
| 12 |
Sélectionnez le client que vous souhaitez ajouter dans le menu déroulant. |
| 13 |
Cliquez sur Ajouter, le client sera ajouté au cluster. |
| 14 |
Répétez les étapes 11 à 13 pour ajouter plusieurs clients à votre cluster. |
| 15 |
Cliquez sur Terminé en bas de l'écran une fois que vous avez ajouté les clients. |
Que faire ensuite
Utiliser OpenSSL pour générer un fichier PKCS12
Avant de commencer
-
OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.
-
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure à titre indicatif pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.
-
Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
-
Créer une clé privée.
-
Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).
| 1 |
Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous |
| 2 |
Affichez le certificat sous forme de texte et vérifiez les détails.
|
| 3 |
Utilisez un éditeur de texte pour créer un fichier de groupe de certificats appelé
|
| 4 |
Créez le fichier . p12 avec le nom convivial
|
| 5 |
Vérifiez les détails du certificat du serveur. |
Que faire ensuite
Revenir à Compléter les conditions préalables pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci dans Créer une configuration ISO pour les hôtes HDS.
Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.
Trafic entre les nœuds HDS et le Cloud
Trafic des collection de mesures sortantes
Les nœuds de sécurité des données hybrides envoient certaines mesures au cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).
Trafic entrant
Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants depuis le cloud Webex :
-
demandes de chiffrement des clients, acheminées par le service de chiffrement
-
Mises à niveau du logiciel du nœud
Configurer les proxys Squid pour la sécurité des données hybrides
WebSocket ne peut pas se connecter via le proxy Squid
Les proxys Squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions WebSocket (wss:) requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid pour ignorer le trafic wss: pour un bon fonctionnement des services.
Squid 4 et 5
Ajoutez la directive on_unsupported_protocol à squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
