Potresti notare che alcuni articoli non vengono visualizzati coerentemente. Stiamo aggiornando il nostro sito. Ci scusiamo per qualsiasi inconveniente.
cross icon
In questo articolo
dropdown icon
Prefazione
    Informazioni nuove e modificate
    dropdown icon
    Introduzione alla sicurezza dei dati ibridi
      Panoramica sulla sicurezza dei dati ibridi
        dropdown icon
        Architettura dell'area di autenticazione di sicurezza
          Domini di separazione (senza sicurezza dati ibridi)
        Collaborazione con altre organizzazioni
          Aspettative per la distribuzione della sicurezza dei dati ibridi
            Processo di impostazione di alto livello
              dropdown icon
              Modello di distribuzione della sicurezza dei dati ibridi
                Modello di distribuzione della sicurezza dei dati ibridi
              Modalità di prova sicurezza dati ibridi
                dropdown icon
                Centro dati di standby per il ripristino di emergenza
                  Impostazione del centro dati di standby per il ripristino di emergenza
                Supporto proxy
                dropdown icon
                Preparazione dell'ambiente
                  dropdown icon
                  Requisiti per la sicurezza dei dati ibridi
                    Requisiti licenza Cisco Webex
                    Requisiti Docker Desktop
                    Requisiti del certificato X.509
                    Requisiti dell'host virtuale
                    Requisiti del server di database
                    Requisiti di connettività esterna
                    Requisiti del server proxy
                  Completare i prerequisiti per la sicurezza dei dati ibridi
                  dropdown icon
                  Impostazione di un cluster di sicurezza dei dati ibridi
                    Flusso delle attività di distribuzione della sicurezza dei dati ibridi
                      Scarica file di installazione
                        Creazione di un ISO di configurazione per gli host HDS
                          Installazione del file OVA dell'host HDS
                            Impostare la VM di sicurezza dei dati ibridi
                              Caricamento e montaggio dell'ISO di configurazione HDS
                                Configurazione del nodo HDS per l'integrazione proxy
                                  Registra il primo nodo nel cluster
                                    Crea e registra altri nodi
                                    dropdown icon
                                    Esegui una versione di prova e passa in produzione
                                      Flusso attività di prova-produzione
                                        Attiva versione di prova
                                          Verifica della distribuzione della sicurezza dei dati ibridi
                                            Monitoraggio dello stato della sicurezza dei dati ibridi
                                              Aggiunta o rimozione di utenti dalla versione di prova
                                                Passa da versione di prova a produzione
                                                  Terminare la versione di prova senza passare alla produzione
                                                  dropdown icon
                                                  Gestisci la distribuzione HDS
                                                    Gestisci distribuzione HDS
                                                      Imposta pianificazione aggiornamento cluster
                                                        Modifica della configurazione del nodo
                                                          Disattiva modalità di risoluzione DNS esterna bloccata
                                                            Rimuovi un nodo
                                                              Ripristino di emergenza tramite centro dati Standby
                                                                (Opzionale) Smontaggio di ISO dopo la configurazione HDS
                                                                dropdown icon
                                                                Risoluzione dei problemi di sicurezza dei dati ibridi
                                                                  Visualizzazione di avvisi e risoluzione dei problemi
                                                                    dropdown icon
                                                                    Avvisi
                                                                      Problemi comuni e procedure per risolverli
                                                                    Risoluzione dei problemi di sicurezza dei dati ibridi
                                                                    dropdown icon
                                                                    Altre note
                                                                      Problemi noti per la sicurezza dei dati ibridi
                                                                        Utilizzare OpenSSL per generare un file PKCS12
                                                                          Traffico tra i nodi HDS e il cloud
                                                                            dropdown icon
                                                                            Configurazione dei proxy Squid per la sicurezza dei dati ibridi
                                                                              WebSocket non può connettersi attraverso il proxy Squid
                                                                          In questo articolo
                                                                          cross icon
                                                                          dropdown icon
                                                                          Prefazione
                                                                            Informazioni nuove e modificate
                                                                            dropdown icon
                                                                            Introduzione alla sicurezza dei dati ibridi
                                                                              Panoramica sulla sicurezza dei dati ibridi
                                                                                dropdown icon
                                                                                Architettura dell'area di autenticazione di sicurezza
                                                                                  Domini di separazione (senza sicurezza dati ibridi)
                                                                                Collaborazione con altre organizzazioni
                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi
                                                                                    Processo di impostazione di alto livello
                                                                                      dropdown icon
                                                                                      Modello di distribuzione della sicurezza dei dati ibridi
                                                                                        Modello di distribuzione della sicurezza dei dati ibridi
                                                                                      Modalità di prova sicurezza dati ibridi
                                                                                        dropdown icon
                                                                                        Centro dati di standby per il ripristino di emergenza
                                                                                          Impostazione del centro dati di standby per il ripristino di emergenza
                                                                                        Supporto proxy
                                                                                        dropdown icon
                                                                                        Preparazione dell'ambiente
                                                                                          dropdown icon
                                                                                          Requisiti per la sicurezza dei dati ibridi
                                                                                            Requisiti licenza Cisco Webex
                                                                                            Requisiti Docker Desktop
                                                                                            Requisiti del certificato X.509
                                                                                            Requisiti dell'host virtuale
                                                                                            Requisiti del server di database
                                                                                            Requisiti di connettività esterna
                                                                                            Requisiti del server proxy
                                                                                          Completare i prerequisiti per la sicurezza dei dati ibridi
                                                                                          dropdown icon
                                                                                          Impostazione di un cluster di sicurezza dei dati ibridi
                                                                                            Flusso delle attività di distribuzione della sicurezza dei dati ibridi
                                                                                              Scarica file di installazione
                                                                                                Creazione di un ISO di configurazione per gli host HDS
                                                                                                  Installazione del file OVA dell'host HDS
                                                                                                    Impostare la VM di sicurezza dei dati ibridi
                                                                                                      Caricamento e montaggio dell'ISO di configurazione HDS
                                                                                                        Configurazione del nodo HDS per l'integrazione proxy
                                                                                                          Registra il primo nodo nel cluster
                                                                                                            Crea e registra altri nodi
                                                                                                            dropdown icon
                                                                                                            Esegui una versione di prova e passa in produzione
                                                                                                              Flusso attività di prova-produzione
                                                                                                                Attiva versione di prova
                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi
                                                                                                                    Monitoraggio dello stato della sicurezza dei dati ibridi
                                                                                                                      Aggiunta o rimozione di utenti dalla versione di prova
                                                                                                                        Passa da versione di prova a produzione
                                                                                                                          Terminare la versione di prova senza passare alla produzione
                                                                                                                          dropdown icon
                                                                                                                          Gestisci la distribuzione HDS
                                                                                                                            Gestisci distribuzione HDS
                                                                                                                              Imposta pianificazione aggiornamento cluster
                                                                                                                                Modifica della configurazione del nodo
                                                                                                                                  Disattiva modalità di risoluzione DNS esterna bloccata
                                                                                                                                    Rimuovi un nodo
                                                                                                                                      Ripristino di emergenza tramite centro dati Standby
                                                                                                                                        (Opzionale) Smontaggio di ISO dopo la configurazione HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Risoluzione dei problemi di sicurezza dei dati ibridi
                                                                                                                                          Visualizzazione di avvisi e risoluzione dei problemi
                                                                                                                                            dropdown icon
                                                                                                                                            Avvisi
                                                                                                                                              Problemi comuni e procedure per risolverli
                                                                                                                                            Risoluzione dei problemi di sicurezza dei dati ibridi
                                                                                                                                            dropdown icon
                                                                                                                                            Altre note
                                                                                                                                              Problemi noti per la sicurezza dei dati ibridi
                                                                                                                                                Utilizzare OpenSSL per generare un file PKCS12
                                                                                                                                                  Traffico tra i nodi HDS e il cloud
                                                                                                                                                    dropdown icon
                                                                                                                                                    Configurazione dei proxy Squid per la sicurezza dei dati ibridi
                                                                                                                                                      WebSocket non può connettersi attraverso il proxy Squid

                                                                                                                                                  Guida alla distribuzione per la sicurezza dei dati ibridi Webex

                                                                                                                                                  list-menuIn questo articolo
                                                                                                                                                  list-menuFeedback?
                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche apportate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker.

                                                                                                                                                  24 giugno 2021

                                                                                                                                                  Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12.

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale.

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Aggiornato Scarica file di installazione.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro.

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS.
                                                                                                                                                  4 febbraio 2020Aggiornati i requisiti del server proxy.
                                                                                                                                                  16 dicembre 2019Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Aggiornate di conseguenza le seguenti sezioni:


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunto SQL Server Standard ai requisiti del server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto.
                                                                                                                                                  20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex.

                                                                                                                                                  13 giugno 2019Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio su disco rigido locale per server da impostare quando si preparano gli host virtuali che diventano nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, in modo da riflettere la dimensione del disco creato dal file OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornata la creazione di un ISO di configurazione per gli host HDS con le istruzioni.

                                                                                                                                                  • URL di destinazione rimossi dalla tabella "Requisiti di connettività Internet per le VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (cluster di failover sempre attivi e gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati in Hybrid Data Security. Aggiunto contenuto relativo alla distribuzione con SQL Server.


                                                                                                                                                     

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  giovedì 19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata per riflettere il rebranding di Cisco Spark:

                                                                                                                                                  • La sicurezza dei dati ibridi Cisco Spark è ora Sicurezza dei dati ibridi.

                                                                                                                                                  • L'app Cisco Spark ora è l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella dei requisiti di certificato X.509, è specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Chiarificazione della sincronizzazione delle rubriche di HdsTrialGroup.

                                                                                                                                                  • Istruzioni fisse per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.

                                                                                                                                                  Architettura dell'area di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Campi di separazione (senza sicurezza dei dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

                                                                                                                                                  La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:

                                                                                                                                                  • Gestire il backup e il ripristino del database e della configurazione ISO.

                                                                                                                                                  • Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.


                                                                                                                                                   

                                                                                                                                                  Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS.

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:

                                                                                                                                                  • Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.

                                                                                                                                                  • Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova della sicurezza dei dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.

                                                                                                                                                  Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati standby per ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Failover manuale su centro dati standby

                                                                                                                                                  I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Imposta centro dati standby per ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).

                                                                                                                                                  • Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del data center principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare i registri di sistema per verificare che i nodi siano in modalità passiva. È necessario essere in grado di visualizzare il messaggio "KMS configurato in modalità passiva" nei registri di sistema.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo la configurazione passiveMode nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP: visualizza e controlla tutte le richieste inviate dal client.

                                                                                                                                                      • HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti della licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti desktop docker

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".

                                                                                                                                                  Requisiti di certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti di certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio nome comune (CN) che identifica la distribuzione di Hybrid Data Security

                                                                                                                                                  • Non è un certificato jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere un * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Usa il nome amichevole di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti organizzatore virtuale

                                                                                                                                                  Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:

                                                                                                                                                  • Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.


                                                                                                                                                     

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server

                                                                                                                                                  Requisiti server database


                                                                                                                                                   

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver Postgres JDBC 42.2.5

                                                                                                                                                  Driver JDBC server SQL 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.

                                                                                                                                                    Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocol

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi di sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella degli URL aggiuntivi per i servizi ibridi Webex dei requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comune

                                                                                                                                                  Americhe

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti server proxy

                                                                                                                                                  • Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione del digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completamento dei prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. (È necessario creare questo database; non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.)

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • nome host o indirizzo IP (host) e porta

                                                                                                                                                    • nome del database (dbname) per l'archiviazione chiave

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di memorizzazione delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.


                                                                                                                                                   

                                                                                                                                                  Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, la mancata gestione di una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080.

                                                                                                                                                  Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker.

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato HdsTrialGroup e aggiungere gli utenti pilota. Il gruppo di prova può contenere fino a 250 utenti. Il HdsTrialGroup oggetto deve essere sincronizzato con il cloud prima di poter avviare una versione di prova per la propria organizzazione. Per sincronizzare un oggetto di gruppo, selezionarlo in Connettore directory Configurazione > menu Selezione oggetto. (Per istruzioni dettagliate, vedere la Guida alla distribuzione per Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione di sicurezza dei dati ibridi, tutti gli utenti perderanno l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Flusso attività distribuzione sicurezza dati ibridi

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente.

                                                                                                                                                  2

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  4

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA.

                                                                                                                                                  5

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.

                                                                                                                                                  7

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Completare l'impostazione del cluster.

                                                                                                                                                  9

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)

                                                                                                                                                  Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  In questa attività, è possibile scaricare un file OVA sulla macchina (non sui server configurati come nodi di sicurezza dei dati ibridi). Utilizzare questo file in seguito nel processo di installazione.
                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi fare clic su Servizi.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.

                                                                                                                                                  Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.


                                                                                                                                                   

                                                                                                                                                  È inoltre possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni. Nella scheda Sicurezza dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dati ibridi nella sezione Guida .


                                                                                                                                                   

                                                                                                                                                  Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti di sicurezza dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti.

                                                                                                                                                  Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
                                                                                                                                                  4

                                                                                                                                                  Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida.

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:

                                                                                                                                                    • Credenziali del database

                                                                                                                                                    • Aggiornamenti dei certificati

                                                                                                                                                    • Modifiche ai criteri di autorizzazione

                                                                                                                                                  • Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

                                                                                                                                                  1

                                                                                                                                                  Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Alla richiesta della password, immettere questo hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  • In ambienti normali senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  Utilizzare un browser Web per passare all'host locale, http://127.0.0.1:8080 e immettere il nome utente di amministrazione cliente per Control Hub al prompt.

                                                                                                                                                  Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard.

                                                                                                                                                  7

                                                                                                                                                  Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Importazione ISO sono disponibili le seguenti opzioni:

                                                                                                                                                  • No: se stai creando il tuo primo nodo HDS, non disponi di un file ISO da caricare.
                                                                                                                                                  • : se sono già stati creati nodi HDS, selezionare il file ISO nel browser e caricarlo.
                                                                                                                                                  10

                                                                                                                                                  Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  • Se non è mai stato caricato un certificato prima, caricare il certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  • Se il certificato è OK, fare clic su Continua.
                                                                                                                                                  • Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continua a utilizzare la catena di certificati HDS e la chiave privata della precedente ISO?. Caricare un nuovo certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  11

                                                                                                                                                  Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave:

                                                                                                                                                  1. Selezionare il tipo di database (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Se si sceglie Microsoft SQL Server, viene visualizzato un campo Tipo di autenticazione.

                                                                                                                                                  2. (solo Microsoft SQL Server) Selezionare il tipo di autenticazione:

                                                                                                                                                    • Autenticazione di base: È necessario un nome di account SQL Server locale nel campo Nome utente.

                                                                                                                                                    • Autenticazione di Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente.

                                                                                                                                                  3. Immettere l'indirizzo del server del database nel modulo <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

                                                                                                                                                    Se si utilizza l'autenticazione Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433

                                                                                                                                                  4. Immettere il nome del database.

                                                                                                                                                  5. Immettere il nome utente e la password di un utente con tutti i privilegi nel database di storage dei tasti.

                                                                                                                                                  12

                                                                                                                                                  Selezionare una modalità di connessione al database TLS:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Preferire TLS (opzione predefinita)

                                                                                                                                                  I nodi HDS non richiedono che TLS si connetta al server del database. Se si abilita TLS sul server del database, i nodi tentano una connessione crittografata.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato


                                                                                                                                                   

                                                                                                                                                  Questa modalità non è applicabile ai database del server SQL.

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato e il nome host

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  • I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host database e porta. I nomi devono corrispondere esattamente oppure il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente.

                                                                                                                                                  13

                                                                                                                                                  Nella pagina Registri di sistema, configurare il server Syslogd:

                                                                                                                                                  1. Immettere l'URL del server syslog.

                                                                                                                                                    Se il server non è risolvibile con DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indica l'accesso all'host Syslogd 10.92.43.23 sulla porta UDP 514.
                                                                                                                                                  2. Se si imposta il server per utilizzare la crittografia TLS, verificare che Il server syslog sia configurato per la crittografia SSL?.

                                                                                                                                                    Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.

                                                                                                                                                  3. Dal menu a discesa Scegli terminazione record syslog, scegli l'impostazione appropriata per il tuo file ISO: Scegli o Newline viene utilizzato per Graylog e Rsyslog TCP

                                                                                                                                                    • Byte nullo -- \x00

                                                                                                                                                    • Newline -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Fare clic su Continua nella schermata Reimposta password account di servizio.

                                                                                                                                                  Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti.

                                                                                                                                                  16

                                                                                                                                                  Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

                                                                                                                                                  17

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale.

                                                                                                                                                  Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  18

                                                                                                                                                  Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi.

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Utilizzare questa procedura per creare una macchina virtuale dal file OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selezionare File > Distribuisci modello OVF.

                                                                                                                                                  3

                                                                                                                                                  Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo.

                                                                                                                                                  4

                                                                                                                                                  Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo.

                                                                                                                                                  5

                                                                                                                                                  Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo.

                                                                                                                                                  Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.

                                                                                                                                                  6

                                                                                                                                                  Verificare i dettagli del modello, quindi fare clic su Avanti.

                                                                                                                                                  7

                                                                                                                                                  Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo.

                                                                                                                                                  8

                                                                                                                                                  Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM.

                                                                                                                                                  9

                                                                                                                                                  Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.

                                                                                                                                                  10

                                                                                                                                                  Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:

                                                                                                                                                  • Nome host: inserisci il nome host FQDN (nome host e dominio) o un nome host di singola parola per il nodo.

                                                                                                                                                     
                                                                                                                                                    • Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                    • Per garantire una registrazione corretta nel cloud, utilizza solo caratteri minuscoli nel nome host o FQDN impostato per il nodo. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • La lunghezza totale del nome di dominio completo non deve superare 64 caratteri.

                                                                                                                                                  • Indirizzo IP: immettere l'indirizzo IP per l'interfaccia interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  • Maschera: immettere l'indirizzo della subnet mask in notazione dot decimale. ad esempio, 255.255.255.0.
                                                                                                                                                  • Gateway: immettere l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete.
                                                                                                                                                  • Server DNS: immettere un elenco separato da virgole di server DNS, che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (Sono consentite fino a 4 voci DNS).
                                                                                                                                                  • Server NTP: inserire il server NTP della propria organizzazione o un altro server NTP esterno che può essere utilizzato nella propria organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP.
                                                                                                                                                  • Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi.

                                                                                                                                                  Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  11

                                                                                                                                                  Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione.

                                                                                                                                                  Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere.

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  1

                                                                                                                                                  Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console.

                                                                                                                                                  La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
                                                                                                                                                  2

                                                                                                                                                  Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite:

                                                                                                                                                  1. Login: admin

                                                                                                                                                  2. Password: cisco

                                                                                                                                                  Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.

                                                                                                                                                  3

                                                                                                                                                  Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione.

                                                                                                                                                  4

                                                                                                                                                  Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  5

                                                                                                                                                  (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete.

                                                                                                                                                  Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto.

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

                                                                                                                                                  1

                                                                                                                                                  Caricare il file ISO dal computer:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.

                                                                                                                                                  2. Nell'elenco hardware della scheda Configurazione, fare clic su Storage.

                                                                                                                                                  3. Nell'elenco dei datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.

                                                                                                                                                  4. Fare clic sull’icona Carica file, quindi fare clic su Carica file.

                                                                                                                                                  5. Individuare la posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.

                                                                                                                                                  6. Fare clic su per accettare l'avviso di caricamento/download e chiudere la finestra di dialogo del datastore.

                                                                                                                                                  2

                                                                                                                                                  Montare il file ISO:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Fare clic su OK per accettare l'avviso delle opzioni di modifica limitate.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1, selezionare l'opzione per il montaggio da un file ISO datastore e passare alla posizione in cui è stato caricato il file ISO di configurazione.

                                                                                                                                                  4. Controllare Connesso e Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e riavviare la macchina virtuale.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserisci l'URL di impostazione del nodo HDS https://[HDS Node IP or FQDN]/setup in un browser Web, immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Vai su Trust Store & Proxy, quindi scegli un'opzione:

                                                                                                                                                  • Nessun proxy: opzione predefinita prima dell'integrazione di un proxy. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy con ispezione trasparente: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica alla configurazione HTTPS è necessaria nella distribuzione di Hybrid Data Security; tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Una volta scelta questa opzione, è necessario immettere le seguenti informazioni:
                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: selezionare http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base a quanto supportato dal server proxy.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo per proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                  Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti.

                                                                                                                                                  Il nodo si riavvia entro pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Questa attività prende il nodo generico creato in Imposta VM di sicurezza dei dati ibridi, registra il nodo con il cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dal menu sul lato sinistro della schermata, selezionare Servizi.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta.

                                                                                                                                                  Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
                                                                                                                                                  4

                                                                                                                                                  Seleziona per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                  Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
                                                                                                                                                  7

                                                                                                                                                  Fare clic su Vai a nodo.

                                                                                                                                                  8

                                                                                                                                                  Fare clic su Continua nel messaggio di avviso.

                                                                                                                                                  Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
                                                                                                                                                  9

                                                                                                                                                  Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                  L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Per aggiungere altri nodi al cluster, è sufficiente creare ulteriori VM e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di avere almeno 3 nodi.

                                                                                                                                                   

                                                                                                                                                  In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS.

                                                                                                                                                  2

                                                                                                                                                  Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM.

                                                                                                                                                  3

                                                                                                                                                  Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registrare il nodo.

                                                                                                                                                  1. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2. Nella sezione Hybrid Services (Servizi ibridi), trovare la scheda Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Resources (Risorse).

                                                                                                                                                    Viene visualizzata la pagina Risorse sicurezza dati ibridi.
                                                                                                                                                  3. Fare clic su Aggiungi risorsa.

                                                                                                                                                  4. Nel primo campo, selezionare il nome del cluster esistente.

                                                                                                                                                  5. Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                    Viene visualizzato un messaggio che indica che è possibile registrare il nodo sul cloud Webex.
                                                                                                                                                  6. Fare clic su Vai a nodo.

                                                                                                                                                    Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al tuo nodo.
                                                                                                                                                  7. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                    L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  8. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)
                                                                                                                                                  Eseguire una versione di prova e passare alla produzione

                                                                                                                                                  Flusso attività da prova a produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare il HdsTrialGroup oggetto di gruppo.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di avviare una versione di prova. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase trial con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, HdsTrialGroup.)

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.


                                                                                                                                                   

                                                                                                                                                  Se si disattiva la distribuzione di sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1. Per verificare se un utente stabilisce prima un canale sicuro per il KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come quella che segue (identificativi più brevi per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorse KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato all'interno di Control Hub mostra se tutto funziona correttamente con la distribuzione di Hybrid Data Security. Per avvisi più proattivi, iscriviti per le notifiche e-mail. Verrai informato quando sono presenti allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni).

                                                                                                                                                  Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Una volta attivata una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere i membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva .

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Quando si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova, è possibile passare alla produzione. Quando si passa alla produzione, tutti gli utenti nell'organizzazione utilizzeranno il dominio di sicurezza dei dati ibridi locale per le chiavi di crittografia e altri servizi di area di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattivi il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione).

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non procedere con la distribuzione di Hybrid Data Security, è possibile disattivare Hybrid Data Security, che termina la versione di prova e trasferisce gli utenti di prova ai servizi di sicurezza dei dati su cloud. Gli utenti dello studio perderanno l'accesso ai dati crittografati durante lo studio.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la prova.

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster, per garantire che tutti i nodi utilizzino sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile eseguire manualmente l'aggiornamento del cluster prima dell'ora di aggiornamento pianificata. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3:00 AM Daily Stati Uniti: America/Los Angeles. È anche possibile scegliere di posticipare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento.

                                                                                                                                                  Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  Occasionalmente potrebbe essere necessario modificare la configurazione del nodo Sicurezza dati ibridi per motivi quali:
                                                                                                                                                  • Modifica dei certificati x.509 a causa di una scadenza o altri motivi.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.

                                                                                                                                                  Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2. Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Alla richiesta della password, immettere questo hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    • In ambienti normali senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6. Utilizzare un browser per connettersi a localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  7. Quando richiesto, immettere le credenziali di accesso del cliente , quindi fare clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registrare il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1 Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattivazione della modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Overview (pagina predefinita).

                                                                                                                                                  Quando abilitata, Risoluzione DNS esterno bloccato è impostato su .

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibilità e proxy.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test di connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimozione di un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per impedire un ulteriore accesso ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovi il nodo:

                                                                                                                                                  1. Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse sicurezza dati ibridi.

                                                                                                                                                  3. Selezionare il cluster per visualizzarne il pannello Panoramica.

                                                                                                                                                  4. Fare clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fare clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina).

                                                                                                                                                  Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il passiveMode configurazione per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. “KMS configurato in modalità passiva” non deve apparire nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati standby in modalità passiva seguendo la procedura descritta in Imposta centro dati standby per ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio ISO dopo configurazione HDS

                                                                                                                                                  La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.

                                                                                                                                                  Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Chiudere uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nella vCenter Server Appliance, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegli Modifica impostazioni > unità CD/DVD e deseleziona Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere per ciascun nodo HDS a sua volta.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • I titoli dei messaggi e dello spazio non vengono decrittografati per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e le fasi per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Verificare la presenza di errori nel database o problemi di rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione del servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione ai servizi cloud.

                                                                                                                                                  Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password nel file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso alla rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi.

                                                                                                                                                  2

                                                                                                                                                  Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).

                                                                                                                                                  Uso di OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file di bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome amichevole kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password quando viene richiesto di crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee friendlyName: kms-private-key.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12 file e la password impostata, in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico incasso metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  Websocket non può connettersi tramite proxy Squid

                                                                                                                                                  I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamaro 4 e 5

                                                                                                                                                  Aggiungi il on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamaro 3.5.27

                                                                                                                                                  Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche apportate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker.

                                                                                                                                                  24 giugno 2021

                                                                                                                                                  Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12.

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale.

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Aggiornato Scarica file di installazione.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro.

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS.
                                                                                                                                                  4 febbraio 2020Aggiornati i requisiti del server proxy.
                                                                                                                                                  16 dicembre 2019Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Aggiornate di conseguenza le seguenti sezioni:


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunto SQL Server Standard ai requisiti del server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto.
                                                                                                                                                  20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex.

                                                                                                                                                  13 giugno 2019Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio su disco rigido locale per server da impostare quando si preparano gli host virtuali che diventano nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, in modo da riflettere la dimensione del disco creato dal file OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornata la creazione di un ISO di configurazione per gli host HDS con le istruzioni.

                                                                                                                                                  • URL di destinazione rimossi dalla tabella "Requisiti di connettività Internet per le VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (cluster di failover sempre attivi e gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati in Hybrid Data Security. Aggiunto contenuto relativo alla distribuzione con SQL Server.


                                                                                                                                                     

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  giovedì 19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata per riflettere il rebranding di Cisco Spark:

                                                                                                                                                  • La sicurezza dei dati ibridi Cisco Spark è ora Sicurezza dei dati ibridi.

                                                                                                                                                  • L'app Cisco Spark ora è l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella dei requisiti di certificato X.509, è specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Chiarificazione della sincronizzazione delle rubriche di HdsTrialGroup.

                                                                                                                                                  • Istruzioni fisse per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.

                                                                                                                                                  Architettura dell'area di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Campi di separazione (senza sicurezza dei dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

                                                                                                                                                  La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:

                                                                                                                                                  • Gestire il backup e il ripristino del database e della configurazione ISO.

                                                                                                                                                  • Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.


                                                                                                                                                   

                                                                                                                                                  Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS.

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:

                                                                                                                                                  • Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.

                                                                                                                                                  • Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova della sicurezza dei dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.

                                                                                                                                                  Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati standby per ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Failover manuale su centro dati standby

                                                                                                                                                  I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Imposta centro dati standby per ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).

                                                                                                                                                  • Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del data center principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare i registri di sistema per verificare che i nodi siano in modalità passiva. È necessario essere in grado di visualizzare il messaggio "KMS configurato in modalità passiva" nei registri di sistema.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo la configurazione passiveMode nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP: visualizza e controlla tutte le richieste inviate dal client.

                                                                                                                                                      • HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti della licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti desktop docker

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".

                                                                                                                                                  Requisiti di certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti di certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio nome comune (CN) che identifica la distribuzione di Hybrid Data Security

                                                                                                                                                  • Non è un certificato jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere un * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Usa il nome amichevole di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti organizzatore virtuale

                                                                                                                                                  Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:

                                                                                                                                                  • Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.


                                                                                                                                                     

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server

                                                                                                                                                  Requisiti server database


                                                                                                                                                   

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver Postgres JDBC 42.2.5

                                                                                                                                                  Driver JDBC server SQL 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.

                                                                                                                                                    Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocol

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi di sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella degli URL aggiuntivi per i servizi ibridi Webex dei requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comune

                                                                                                                                                  Americhe

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti server proxy

                                                                                                                                                  • Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione del digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completamento dei prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. (È necessario creare questo database; non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.)

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • nome host o indirizzo IP (host) e porta

                                                                                                                                                    • nome del database (dbname) per l'archiviazione chiave

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di memorizzazione delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.


                                                                                                                                                   

                                                                                                                                                  Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, la mancata gestione di una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080.

                                                                                                                                                  Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker.

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato HdsTrialGroup e aggiungere gli utenti pilota. Il gruppo di prova può contenere fino a 250 utenti. Il HdsTrialGroup oggetto deve essere sincronizzato con il cloud prima di poter avviare una versione di prova per la propria organizzazione. Per sincronizzare un oggetto di gruppo, selezionarlo in Connettore directory Configurazione > menu Selezione oggetto. (Per istruzioni dettagliate, vedere la Guida alla distribuzione per Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione di sicurezza dei dati ibridi, tutti gli utenti perderanno l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Flusso attività distribuzione sicurezza dati ibridi

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente.

                                                                                                                                                  2

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  4

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA.

                                                                                                                                                  5

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.

                                                                                                                                                  7

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Completare l'impostazione del cluster.

                                                                                                                                                  9

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)

                                                                                                                                                  Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  In questa attività, è possibile scaricare un file OVA sulla macchina (non sui server configurati come nodi di sicurezza dei dati ibridi). Utilizzare questo file in seguito nel processo di installazione.
                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi fare clic su Servizi.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.

                                                                                                                                                  Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.


                                                                                                                                                   

                                                                                                                                                  È inoltre possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni. Nella scheda Sicurezza dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dati ibridi nella sezione Guida .


                                                                                                                                                   

                                                                                                                                                  Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti di sicurezza dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti.

                                                                                                                                                  Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
                                                                                                                                                  4

                                                                                                                                                  Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida.

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:

                                                                                                                                                    • Credenziali del database

                                                                                                                                                    • Aggiornamenti dei certificati

                                                                                                                                                    • Modifiche ai criteri di autorizzazione

                                                                                                                                                  • Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

                                                                                                                                                  1

                                                                                                                                                  Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Alla richiesta della password, immettere questo hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  • In ambienti normali senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  Utilizzare un browser Web per passare all'host locale, http://127.0.0.1:8080 e immettere il nome utente di amministrazione cliente per Control Hub al prompt.

                                                                                                                                                  Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard.

                                                                                                                                                  7

                                                                                                                                                  Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Importazione ISO sono disponibili le seguenti opzioni:

                                                                                                                                                  • No: se stai creando il tuo primo nodo HDS, non disponi di un file ISO da caricare.
                                                                                                                                                  • : se sono già stati creati nodi HDS, selezionare il file ISO nel browser e caricarlo.
                                                                                                                                                  10

                                                                                                                                                  Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  • Se non è mai stato caricato un certificato prima, caricare il certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  • Se il certificato è OK, fare clic su Continua.
                                                                                                                                                  • Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continua a utilizzare la catena di certificati HDS e la chiave privata della precedente ISO?. Caricare un nuovo certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  11

                                                                                                                                                  Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave:

                                                                                                                                                  1. Selezionare il tipo di database (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Se si sceglie Microsoft SQL Server, viene visualizzato un campo Tipo di autenticazione.

                                                                                                                                                  2. (solo Microsoft SQL Server) Selezionare il tipo di autenticazione:

                                                                                                                                                    • Autenticazione di base: È necessario un nome di account SQL Server locale nel campo Nome utente.

                                                                                                                                                    • Autenticazione di Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente.

                                                                                                                                                  3. Immettere l'indirizzo del server del database nel modulo <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

                                                                                                                                                    Se si utilizza l'autenticazione Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433

                                                                                                                                                  4. Immettere il nome del database.

                                                                                                                                                  5. Immettere il nome utente e la password di un utente con tutti i privilegi nel database di storage dei tasti.

                                                                                                                                                  12

                                                                                                                                                  Selezionare una modalità di connessione al database TLS:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Preferire TLS (opzione predefinita)

                                                                                                                                                  I nodi HDS non richiedono che TLS si connetta al server del database. Se si abilita TLS sul server del database, i nodi tentano una connessione crittografata.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato


                                                                                                                                                   

                                                                                                                                                  Questa modalità non è applicabile ai database del server SQL.

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato e il nome host

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  • I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host database e porta. I nomi devono corrispondere esattamente oppure il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente.

                                                                                                                                                  13

                                                                                                                                                  Nella pagina Registri di sistema, configurare il server Syslogd:

                                                                                                                                                  1. Immettere l'URL del server syslog.

                                                                                                                                                    Se il server non è risolvibile con DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indica l'accesso all'host Syslogd 10.92.43.23 sulla porta UDP 514.
                                                                                                                                                  2. Se si imposta il server per utilizzare la crittografia TLS, verificare che Il server syslog sia configurato per la crittografia SSL?.

                                                                                                                                                    Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.

                                                                                                                                                  3. Dal menu a discesa Scegli terminazione record syslog, scegli l'impostazione appropriata per il tuo file ISO: Scegli o Newline viene utilizzato per Graylog e Rsyslog TCP

                                                                                                                                                    • Byte nullo -- \x00

                                                                                                                                                    • Newline -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Fare clic su Continua nella schermata Reimposta password account di servizio.

                                                                                                                                                  Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti.

                                                                                                                                                  16

                                                                                                                                                  Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

                                                                                                                                                  17

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale.

                                                                                                                                                  Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  18

                                                                                                                                                  Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi.

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Utilizzare questa procedura per creare una macchina virtuale dal file OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selezionare File > Distribuisci modello OVF.

                                                                                                                                                  3

                                                                                                                                                  Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo.

                                                                                                                                                  4

                                                                                                                                                  Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo.

                                                                                                                                                  5

                                                                                                                                                  Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo.

                                                                                                                                                  Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.

                                                                                                                                                  6

                                                                                                                                                  Verificare i dettagli del modello, quindi fare clic su Avanti.

                                                                                                                                                  7

                                                                                                                                                  Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo.

                                                                                                                                                  8

                                                                                                                                                  Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM.

                                                                                                                                                  9

                                                                                                                                                  Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.

                                                                                                                                                  10

                                                                                                                                                  Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:

                                                                                                                                                  • Nome host: inserisci il nome host FQDN (nome host e dominio) o un nome host di singola parola per il nodo.

                                                                                                                                                     
                                                                                                                                                    • Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                    • Per garantire una registrazione corretta nel cloud, utilizza solo caratteri minuscoli nel nome host o FQDN impostato per il nodo. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • La lunghezza totale del nome di dominio completo non deve superare 64 caratteri.

                                                                                                                                                  • Indirizzo IP: immettere l'indirizzo IP per l'interfaccia interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  • Maschera: immettere l'indirizzo della subnet mask in notazione dot decimale. ad esempio, 255.255.255.0.
                                                                                                                                                  • Gateway: immettere l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete.
                                                                                                                                                  • Server DNS: immettere un elenco separato da virgole di server DNS, che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (Sono consentite fino a 4 voci DNS).
                                                                                                                                                  • Server NTP: inserire il server NTP della propria organizzazione o un altro server NTP esterno che può essere utilizzato nella propria organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP.
                                                                                                                                                  • Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi.

                                                                                                                                                  Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  11

                                                                                                                                                  Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione.

                                                                                                                                                  Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere.

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  1

                                                                                                                                                  Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console.

                                                                                                                                                  La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
                                                                                                                                                  2

                                                                                                                                                  Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite:

                                                                                                                                                  1. Login: admin

                                                                                                                                                  2. Password: cisco

                                                                                                                                                  Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.

                                                                                                                                                  3

                                                                                                                                                  Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione.

                                                                                                                                                  4

                                                                                                                                                  Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  5

                                                                                                                                                  (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete.

                                                                                                                                                  Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto.

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

                                                                                                                                                  1

                                                                                                                                                  Caricare il file ISO dal computer:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.

                                                                                                                                                  2. Nell'elenco hardware della scheda Configurazione, fare clic su Storage.

                                                                                                                                                  3. Nell'elenco dei datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.

                                                                                                                                                  4. Fare clic sull’icona Carica file, quindi fare clic su Carica file.

                                                                                                                                                  5. Individuare la posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.

                                                                                                                                                  6. Fare clic su per accettare l'avviso di caricamento/download e chiudere la finestra di dialogo del datastore.

                                                                                                                                                  2

                                                                                                                                                  Montare il file ISO:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Fare clic su OK per accettare l'avviso delle opzioni di modifica limitate.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1, selezionare l'opzione per il montaggio da un file ISO datastore e passare alla posizione in cui è stato caricato il file ISO di configurazione.

                                                                                                                                                  4. Controllare Connesso e Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e riavviare la macchina virtuale.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserisci l'URL di impostazione del nodo HDS https://[HDS Node IP or FQDN]/setup in un browser Web, immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Vai su Trust Store & Proxy, quindi scegli un'opzione:

                                                                                                                                                  • Nessun proxy: opzione predefinita prima dell'integrazione di un proxy. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy con ispezione trasparente: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica alla configurazione HTTPS è necessaria nella distribuzione di Hybrid Data Security; tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Una volta scelta questa opzione, è necessario immettere le seguenti informazioni:
                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: selezionare http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base a quanto supportato dal server proxy.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo per proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                  Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti.

                                                                                                                                                  Il nodo si riavvia entro pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Questa attività prende il nodo generico creato in Imposta VM di sicurezza dei dati ibridi, registra il nodo con il cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dal menu sul lato sinistro della schermata, selezionare Servizi.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta.

                                                                                                                                                  Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
                                                                                                                                                  4

                                                                                                                                                  Seleziona per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                  Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
                                                                                                                                                  7

                                                                                                                                                  Fare clic su Vai a nodo.

                                                                                                                                                  8

                                                                                                                                                  Fare clic su Continua nel messaggio di avviso.

                                                                                                                                                  Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
                                                                                                                                                  9

                                                                                                                                                  Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                  L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Per aggiungere altri nodi al cluster, è sufficiente creare ulteriori VM e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di avere almeno 3 nodi.

                                                                                                                                                   

                                                                                                                                                  In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS.

                                                                                                                                                  2

                                                                                                                                                  Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM.

                                                                                                                                                  3

                                                                                                                                                  Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registrare il nodo.

                                                                                                                                                  1. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2. Nella sezione Hybrid Services (Servizi ibridi), trovare la scheda Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Resources (Risorse).

                                                                                                                                                    Viene visualizzata la pagina Risorse sicurezza dati ibridi.
                                                                                                                                                  3. Fare clic su Aggiungi risorsa.

                                                                                                                                                  4. Nel primo campo, selezionare il nome del cluster esistente.

                                                                                                                                                  5. Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                    Viene visualizzato un messaggio che indica che è possibile registrare il nodo sul cloud Webex.
                                                                                                                                                  6. Fare clic su Vai a nodo.

                                                                                                                                                    Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al tuo nodo.
                                                                                                                                                  7. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                    L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  8. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)
                                                                                                                                                  Eseguire una versione di prova e passare alla produzione

                                                                                                                                                  Flusso attività da prova a produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare il HdsTrialGroup oggetto di gruppo.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di avviare una versione di prova. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase trial con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, HdsTrialGroup.)

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.


                                                                                                                                                   

                                                                                                                                                  Se si disattiva la distribuzione di sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1. Per verificare se un utente stabilisce prima un canale sicuro per il KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come quella che segue (identificativi più brevi per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorse KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato all'interno di Control Hub mostra se tutto funziona correttamente con la distribuzione di Hybrid Data Security. Per avvisi più proattivi, iscriviti per le notifiche e-mail. Verrai informato quando sono presenti allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni).

                                                                                                                                                  Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Una volta attivata una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere i membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva .

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Quando si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova, è possibile passare alla produzione. Quando si passa alla produzione, tutti gli utenti nell'organizzazione utilizzeranno il dominio di sicurezza dei dati ibridi locale per le chiavi di crittografia e altri servizi di area di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattivi il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione).

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non procedere con la distribuzione di Hybrid Data Security, è possibile disattivare Hybrid Data Security, che termina la versione di prova e trasferisce gli utenti di prova ai servizi di sicurezza dei dati su cloud. Gli utenti dello studio perderanno l'accesso ai dati crittografati durante lo studio.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la prova.

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster, per garantire che tutti i nodi utilizzino sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile eseguire manualmente l'aggiornamento del cluster prima dell'ora di aggiornamento pianificata. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3:00 AM Daily Stati Uniti: America/Los Angeles. È anche possibile scegliere di posticipare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento.

                                                                                                                                                  Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  Occasionalmente potrebbe essere necessario modificare la configurazione del nodo Sicurezza dati ibridi per motivi quali:
                                                                                                                                                  • Modifica dei certificati x.509 a causa di una scadenza o altri motivi.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.

                                                                                                                                                  Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2. Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Alla richiesta della password, immettere questo hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    • In ambienti normali senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6. Utilizzare un browser per connettersi a localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  7. Quando richiesto, immettere le credenziali di accesso del cliente , quindi fare clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registrare il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1 Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattivazione della modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Overview (pagina predefinita).

                                                                                                                                                  Quando abilitata, Risoluzione DNS esterno bloccato è impostato su .

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibilità e proxy.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test di connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimozione di un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per impedire un ulteriore accesso ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovi il nodo:

                                                                                                                                                  1. Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse sicurezza dati ibridi.

                                                                                                                                                  3. Selezionare il cluster per visualizzarne il pannello Panoramica.

                                                                                                                                                  4. Fare clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fare clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina).

                                                                                                                                                  Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il passiveMode configurazione per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. “KMS configurato in modalità passiva” non deve apparire nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati standby in modalità passiva seguendo la procedura descritta in Imposta centro dati standby per ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio ISO dopo configurazione HDS

                                                                                                                                                  La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.

                                                                                                                                                  Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Chiudere uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nella vCenter Server Appliance, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegli Modifica impostazioni > unità CD/DVD e deseleziona Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere per ciascun nodo HDS a sua volta.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • I titoli dei messaggi e dello spazio non vengono decrittografati per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e le fasi per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Verificare la presenza di errori nel database o problemi di rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione del servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione ai servizi cloud.

                                                                                                                                                  Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password nel file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso alla rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi.

                                                                                                                                                  2

                                                                                                                                                  Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).

                                                                                                                                                  Uso di OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file di bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome amichevole kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password quando viene richiesto di crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee friendlyName: kms-private-key.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12 file e la password impostata, in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico incasso metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  Websocket non può connettersi tramite proxy Squid

                                                                                                                                                  I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamaro 4 e 5

                                                                                                                                                  Aggiungi il on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamaro 3.5.27

                                                                                                                                                  Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche apportate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker.

                                                                                                                                                  24 giugno 2021

                                                                                                                                                  Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12.

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale.

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Aggiornato Scarica file di installazione.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro.

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS.
                                                                                                                                                  4 febbraio 2020Aggiornati i requisiti del server proxy.
                                                                                                                                                  16 dicembre 2019Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Aggiornate di conseguenza le seguenti sezioni:


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunto SQL Server Standard ai requisiti del server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto.
                                                                                                                                                  20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex.

                                                                                                                                                  13 giugno 2019Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio su disco rigido locale per server da impostare quando si preparano gli host virtuali che diventano nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, in modo da riflettere la dimensione del disco creato dal file OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornata la creazione di un ISO di configurazione per gli host HDS con le istruzioni.

                                                                                                                                                  • URL di destinazione rimossi dalla tabella "Requisiti di connettività Internet per le VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (cluster di failover sempre attivi e gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati in Hybrid Data Security. Aggiunto contenuto relativo alla distribuzione con SQL Server.


                                                                                                                                                     

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  giovedì 19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata per riflettere il rebranding di Cisco Spark:

                                                                                                                                                  • La sicurezza dei dati ibridi Cisco Spark è ora Sicurezza dei dati ibridi.

                                                                                                                                                  • L'app Cisco Spark ora è l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella dei requisiti di certificato X.509, è specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Chiarificazione della sincronizzazione delle rubriche di HdsTrialGroup.

                                                                                                                                                  • Istruzioni fisse per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.

                                                                                                                                                  Architettura dell'area di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Campi di separazione (senza sicurezza dei dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

                                                                                                                                                  La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:

                                                                                                                                                  • Gestire il backup e il ripristino del database e della configurazione ISO.

                                                                                                                                                  • Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.


                                                                                                                                                   

                                                                                                                                                  Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS.

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:

                                                                                                                                                  • Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.

                                                                                                                                                  • Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova della sicurezza dei dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.

                                                                                                                                                  Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati standby per ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Failover manuale su centro dati standby

                                                                                                                                                  I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Imposta centro dati standby per ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).

                                                                                                                                                  • Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del data center principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare i registri di sistema per verificare che i nodi siano in modalità passiva. È necessario essere in grado di visualizzare il messaggio "KMS configurato in modalità passiva" nei registri di sistema.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo la configurazione passiveMode nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP: visualizza e controlla tutte le richieste inviate dal client.

                                                                                                                                                      • HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti della licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti desktop docker

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".

                                                                                                                                                  Requisiti di certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti di certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio nome comune (CN) che identifica la distribuzione di Hybrid Data Security

                                                                                                                                                  • Non è un certificato jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere un * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Usa il nome amichevole di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti organizzatore virtuale

                                                                                                                                                  Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:

                                                                                                                                                  • Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.


                                                                                                                                                     

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server

                                                                                                                                                  Requisiti server database


                                                                                                                                                   

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver Postgres JDBC 42.2.5

                                                                                                                                                  Driver JDBC server SQL 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.

                                                                                                                                                    Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocol

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi di sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella degli URL aggiuntivi per i servizi ibridi Webex dei requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comune

                                                                                                                                                  Americhe

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti server proxy

                                                                                                                                                  • Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione del digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completamento dei prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. (È necessario creare questo database; non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.)

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • nome host o indirizzo IP (host) e porta

                                                                                                                                                    • nome del database (dbname) per l'archiviazione chiave

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di memorizzazione delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.


                                                                                                                                                   

                                                                                                                                                  Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, la mancata gestione di una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080.

                                                                                                                                                  Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker.

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato HdsTrialGroup e aggiungere gli utenti pilota. Il gruppo di prova può contenere fino a 250 utenti. Il HdsTrialGroup oggetto deve essere sincronizzato con il cloud prima di poter avviare una versione di prova per la propria organizzazione. Per sincronizzare un oggetto di gruppo, selezionarlo in Connettore directory Configurazione > menu Selezione oggetto. (Per istruzioni dettagliate, vedere la Guida alla distribuzione per Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione di sicurezza dei dati ibridi, tutti gli utenti perderanno l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Flusso attività distribuzione sicurezza dati ibridi

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente.

                                                                                                                                                  2

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  4

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA.

                                                                                                                                                  5

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.

                                                                                                                                                  7

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Completare l'impostazione del cluster.

                                                                                                                                                  9

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)

                                                                                                                                                  Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  In questa attività, è possibile scaricare un file OVA sulla macchina (non sui server configurati come nodi di sicurezza dei dati ibridi). Utilizzare questo file in seguito nel processo di installazione.
                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi fare clic su Servizi.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.

                                                                                                                                                  Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.


                                                                                                                                                   

                                                                                                                                                  È inoltre possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni. Nella scheda Sicurezza dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dati ibridi nella sezione Guida .


                                                                                                                                                   

                                                                                                                                                  Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti di sicurezza dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti.

                                                                                                                                                  Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
                                                                                                                                                  4

                                                                                                                                                  Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida.

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:

                                                                                                                                                    • Credenziali del database

                                                                                                                                                    • Aggiornamenti dei certificati

                                                                                                                                                    • Modifiche ai criteri di autorizzazione

                                                                                                                                                  • Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

                                                                                                                                                  1

                                                                                                                                                  Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Alla richiesta della password, immettere questo hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  • In ambienti normali senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  Utilizzare un browser Web per passare all'host locale, http://127.0.0.1:8080 e immettere il nome utente di amministrazione cliente per Control Hub al prompt.

                                                                                                                                                  Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard.

                                                                                                                                                  7

                                                                                                                                                  Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Importazione ISO sono disponibili le seguenti opzioni:

                                                                                                                                                  • No: se stai creando il tuo primo nodo HDS, non disponi di un file ISO da caricare.
                                                                                                                                                  • : se sono già stati creati nodi HDS, selezionare il file ISO nel browser e caricarlo.
                                                                                                                                                  10

                                                                                                                                                  Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  • Se non è mai stato caricato un certificato prima, caricare il certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  • Se il certificato è OK, fare clic su Continua.
                                                                                                                                                  • Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continua a utilizzare la catena di certificati HDS e la chiave privata della precedente ISO?. Caricare un nuovo certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  11

                                                                                                                                                  Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave:

                                                                                                                                                  1. Selezionare il tipo di database (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Se si sceglie Microsoft SQL Server, viene visualizzato un campo Tipo di autenticazione.

                                                                                                                                                  2. (solo Microsoft SQL Server) Selezionare il tipo di autenticazione:

                                                                                                                                                    • Autenticazione di base: È necessario un nome di account SQL Server locale nel campo Nome utente.

                                                                                                                                                    • Autenticazione di Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente.

                                                                                                                                                  3. Immettere l'indirizzo del server del database nel modulo <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

                                                                                                                                                    Se si utilizza l'autenticazione Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433

                                                                                                                                                  4. Immettere il nome del database.

                                                                                                                                                  5. Immettere il nome utente e la password di un utente con tutti i privilegi nel database di storage dei tasti.

                                                                                                                                                  12

                                                                                                                                                  Selezionare una modalità di connessione al database TLS:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Preferire TLS (opzione predefinita)

                                                                                                                                                  I nodi HDS non richiedono che TLS si connetta al server del database. Se si abilita TLS sul server del database, i nodi tentano una connessione crittografata.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato


                                                                                                                                                   

                                                                                                                                                  Questa modalità non è applicabile ai database del server SQL.

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato e il nome host

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  • I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host database e porta. I nomi devono corrispondere esattamente oppure il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente.

                                                                                                                                                  13

                                                                                                                                                  Nella pagina Registri di sistema, configurare il server Syslogd:

                                                                                                                                                  1. Immettere l'URL del server syslog.

                                                                                                                                                    Se il server non è risolvibile con DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indica l'accesso all'host Syslogd 10.92.43.23 sulla porta UDP 514.
                                                                                                                                                  2. Se si imposta il server per utilizzare la crittografia TLS, verificare che Il server syslog sia configurato per la crittografia SSL?.

                                                                                                                                                    Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.

                                                                                                                                                  3. Dal menu a discesa Scegli terminazione record syslog, scegli l'impostazione appropriata per il tuo file ISO: Scegli o Newline viene utilizzato per Graylog e Rsyslog TCP

                                                                                                                                                    • Byte nullo -- \x00

                                                                                                                                                    • Newline -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Fare clic su Continua nella schermata Reimposta password account di servizio.

                                                                                                                                                  Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti.

                                                                                                                                                  16

                                                                                                                                                  Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

                                                                                                                                                  17

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale.

                                                                                                                                                  Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  18

                                                                                                                                                  Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi.

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Utilizzare questa procedura per creare una macchina virtuale dal file OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selezionare File > Distribuisci modello OVF.

                                                                                                                                                  3

                                                                                                                                                  Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo.

                                                                                                                                                  4

                                                                                                                                                  Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo.

                                                                                                                                                  5

                                                                                                                                                  Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo.

                                                                                                                                                  Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.

                                                                                                                                                  6

                                                                                                                                                  Verificare i dettagli del modello, quindi fare clic su Avanti.

                                                                                                                                                  7

                                                                                                                                                  Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo.

                                                                                                                                                  8

                                                                                                                                                  Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM.

                                                                                                                                                  9

                                                                                                                                                  Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.

                                                                                                                                                  10

                                                                                                                                                  Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:

                                                                                                                                                  • Nome host: inserisci il nome host FQDN (nome host e dominio) o un nome host di singola parola per il nodo.

                                                                                                                                                     
                                                                                                                                                    • Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                    • Per garantire una registrazione corretta nel cloud, utilizza solo caratteri minuscoli nel nome host o FQDN impostato per il nodo. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • La lunghezza totale del nome di dominio completo non deve superare 64 caratteri.

                                                                                                                                                  • Indirizzo IP: immettere l'indirizzo IP per l'interfaccia interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  • Maschera: immettere l'indirizzo della subnet mask in notazione dot decimale. ad esempio, 255.255.255.0.
                                                                                                                                                  • Gateway: immettere l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete.
                                                                                                                                                  • Server DNS: immettere un elenco separato da virgole di server DNS, che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (Sono consentite fino a 4 voci DNS).
                                                                                                                                                  • Server NTP: inserire il server NTP della propria organizzazione o un altro server NTP esterno che può essere utilizzato nella propria organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP.
                                                                                                                                                  • Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi.

                                                                                                                                                  Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  11

                                                                                                                                                  Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione.

                                                                                                                                                  Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere.

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  1

                                                                                                                                                  Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console.

                                                                                                                                                  La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
                                                                                                                                                  2

                                                                                                                                                  Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite:

                                                                                                                                                  1. Login: admin

                                                                                                                                                  2. Password: cisco

                                                                                                                                                  Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.

                                                                                                                                                  3

                                                                                                                                                  Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione.

                                                                                                                                                  4

                                                                                                                                                  Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  5

                                                                                                                                                  (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete.

                                                                                                                                                  Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto.

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

                                                                                                                                                  1

                                                                                                                                                  Caricare il file ISO dal computer:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.

                                                                                                                                                  2. Nell'elenco hardware della scheda Configurazione, fare clic su Storage.

                                                                                                                                                  3. Nell'elenco dei datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.

                                                                                                                                                  4. Fare clic sull’icona Carica file, quindi fare clic su Carica file.

                                                                                                                                                  5. Individuare la posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.

                                                                                                                                                  6. Fare clic su per accettare l'avviso di caricamento/download e chiudere la finestra di dialogo del datastore.

                                                                                                                                                  2

                                                                                                                                                  Montare il file ISO:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Fare clic su OK per accettare l'avviso delle opzioni di modifica limitate.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1, selezionare l'opzione per il montaggio da un file ISO datastore e passare alla posizione in cui è stato caricato il file ISO di configurazione.

                                                                                                                                                  4. Controllare Connesso e Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e riavviare la macchina virtuale.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserisci l'URL di impostazione del nodo HDS https://[HDS Node IP or FQDN]/setup in un browser Web, immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Vai su Trust Store & Proxy, quindi scegli un'opzione:

                                                                                                                                                  • Nessun proxy: opzione predefinita prima dell'integrazione di un proxy. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy con ispezione trasparente: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica alla configurazione HTTPS è necessaria nella distribuzione di Hybrid Data Security; tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Una volta scelta questa opzione, è necessario immettere le seguenti informazioni:
                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: selezionare http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base a quanto supportato dal server proxy.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo per proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                  Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti.

                                                                                                                                                  Il nodo si riavvia entro pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Questa attività prende il nodo generico creato in Imposta VM di sicurezza dei dati ibridi, registra il nodo con il cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dal menu sul lato sinistro della schermata, selezionare Servizi.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta.

                                                                                                                                                  Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
                                                                                                                                                  4

                                                                                                                                                  Seleziona per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                  Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
                                                                                                                                                  7

                                                                                                                                                  Fare clic su Vai a nodo.

                                                                                                                                                  8

                                                                                                                                                  Fare clic su Continua nel messaggio di avviso.

                                                                                                                                                  Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
                                                                                                                                                  9

                                                                                                                                                  Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                  L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Per aggiungere altri nodi al cluster, è sufficiente creare ulteriori VM e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di avere almeno 3 nodi.

                                                                                                                                                   

                                                                                                                                                  In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS.

                                                                                                                                                  2

                                                                                                                                                  Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM.

                                                                                                                                                  3

                                                                                                                                                  Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registrare il nodo.

                                                                                                                                                  1. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2. Nella sezione Hybrid Services (Servizi ibridi), trovare la scheda Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Resources (Risorse).

                                                                                                                                                    Viene visualizzata la pagina Risorse sicurezza dati ibridi.
                                                                                                                                                  3. Fare clic su Aggiungi risorsa.

                                                                                                                                                  4. Nel primo campo, selezionare il nome del cluster esistente.

                                                                                                                                                  5. Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                    Viene visualizzato un messaggio che indica che è possibile registrare il nodo sul cloud Webex.
                                                                                                                                                  6. Fare clic su Vai a nodo.

                                                                                                                                                    Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al tuo nodo.
                                                                                                                                                  7. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                    L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  8. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)
                                                                                                                                                  Eseguire una versione di prova e passare alla produzione

                                                                                                                                                  Flusso attività da prova a produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare il HdsTrialGroup oggetto di gruppo.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di avviare una versione di prova. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase trial con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, HdsTrialGroup.)

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.


                                                                                                                                                   

                                                                                                                                                  Se si disattiva la distribuzione di sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1. Per verificare se un utente stabilisce prima un canale sicuro per il KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come quella che segue (identificativi più brevi per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorse KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato all'interno di Control Hub mostra se tutto funziona correttamente con la distribuzione di Hybrid Data Security. Per avvisi più proattivi, iscriviti per le notifiche e-mail. Verrai informato quando sono presenti allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni).

                                                                                                                                                  Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Una volta attivata una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere i membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva .

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Quando si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova, è possibile passare alla produzione. Quando si passa alla produzione, tutti gli utenti nell'organizzazione utilizzeranno il dominio di sicurezza dei dati ibridi locale per le chiavi di crittografia e altri servizi di area di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattivi il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione).

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non procedere con la distribuzione di Hybrid Data Security, è possibile disattivare Hybrid Data Security, che termina la versione di prova e trasferisce gli utenti di prova ai servizi di sicurezza dei dati su cloud. Gli utenti dello studio perderanno l'accesso ai dati crittografati durante lo studio.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la prova.

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster, per garantire che tutti i nodi utilizzino sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile eseguire manualmente l'aggiornamento del cluster prima dell'ora di aggiornamento pianificata. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3:00 AM Daily Stati Uniti: America/Los Angeles. È anche possibile scegliere di posticipare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento.

                                                                                                                                                  Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  Occasionalmente potrebbe essere necessario modificare la configurazione del nodo Sicurezza dati ibridi per motivi quali:
                                                                                                                                                  • Modifica dei certificati x.509 a causa di una scadenza o altri motivi.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.

                                                                                                                                                  Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2. Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Alla richiesta della password, immettere questo hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    • In ambienti normali senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6. Utilizzare un browser per connettersi a localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  7. Quando richiesto, immettere le credenziali di accesso del cliente , quindi fare clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registrare il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1 Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattivazione della modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Overview (pagina predefinita).

                                                                                                                                                  Quando abilitata, Risoluzione DNS esterno bloccato è impostato su .

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibilità e proxy.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test di connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimozione di un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per impedire un ulteriore accesso ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovi il nodo:

                                                                                                                                                  1. Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse sicurezza dati ibridi.

                                                                                                                                                  3. Selezionare il cluster per visualizzarne il pannello Panoramica.

                                                                                                                                                  4. Fare clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fare clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina).

                                                                                                                                                  Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il passiveMode configurazione per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. “KMS configurato in modalità passiva” non deve apparire nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati standby in modalità passiva seguendo la procedura descritta in Imposta centro dati standby per ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio ISO dopo configurazione HDS

                                                                                                                                                  La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.

                                                                                                                                                  Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Chiudere uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nella vCenter Server Appliance, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegli Modifica impostazioni > unità CD/DVD e deseleziona Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere per ciascun nodo HDS a sua volta.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • I titoli dei messaggi e dello spazio non vengono decrittografati per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e le fasi per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Verificare la presenza di errori nel database o problemi di rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione del servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione ai servizi cloud.

                                                                                                                                                  Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password nel file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso alla rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi.

                                                                                                                                                  2

                                                                                                                                                  Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).

                                                                                                                                                  Uso di OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file di bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome amichevole kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password quando viene richiesto di crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee friendlyName: kms-private-key.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12 file e la password impostata, in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico incasso metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  Websocket non può connettersi tramite proxy Squid

                                                                                                                                                  I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamaro 4 e 5

                                                                                                                                                  Aggiungi il on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamaro 3.5.27

                                                                                                                                                  Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche apportate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker.

                                                                                                                                                  24 giugno 2021

                                                                                                                                                  Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12.

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale.

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Aggiornato Scarica file di installazione.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro.

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS.
                                                                                                                                                  4 febbraio 2020Aggiornati i requisiti del server proxy.
                                                                                                                                                  16 dicembre 2019Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Aggiornate di conseguenza le seguenti sezioni:


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunto SQL Server Standard ai requisiti del server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto.
                                                                                                                                                  20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex.

                                                                                                                                                  13 giugno 2019Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio su disco rigido locale per server da impostare quando si preparano gli host virtuali che diventano nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, in modo da riflettere la dimensione del disco creato dal file OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornata la creazione di un ISO di configurazione per gli host HDS con le istruzioni.

                                                                                                                                                  • URL di destinazione rimossi dalla tabella "Requisiti di connettività Internet per le VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (cluster di failover sempre attivi e gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati in Hybrid Data Security. Aggiunto contenuto relativo alla distribuzione con SQL Server.


                                                                                                                                                     

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  giovedì 19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata per riflettere il rebranding di Cisco Spark:

                                                                                                                                                  • La sicurezza dei dati ibridi Cisco Spark è ora Sicurezza dei dati ibridi.

                                                                                                                                                  • L'app Cisco Spark ora è l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella dei requisiti di certificato X.509, è specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Chiarificazione della sincronizzazione delle rubriche di HdsTrialGroup.

                                                                                                                                                  • Istruzioni fisse per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.

                                                                                                                                                  Architettura dell'area di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Campi di separazione (senza sicurezza dei dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

                                                                                                                                                  La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:

                                                                                                                                                  • Gestire il backup e il ripristino del database e della configurazione ISO.

                                                                                                                                                  • Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.


                                                                                                                                                   

                                                                                                                                                  Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS.

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:

                                                                                                                                                  • Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.

                                                                                                                                                  • Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova della sicurezza dei dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.

                                                                                                                                                  Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati standby per ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Failover manuale su centro dati standby

                                                                                                                                                  I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Imposta centro dati standby per ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).

                                                                                                                                                  • Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del data center principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare i registri di sistema per verificare che i nodi siano in modalità passiva. È necessario essere in grado di visualizzare il messaggio "KMS configurato in modalità passiva" nei registri di sistema.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo la configurazione passiveMode nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP: visualizza e controlla tutte le richieste inviate dal client.

                                                                                                                                                      • HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti della licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti desktop docker

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".

                                                                                                                                                  Requisiti di certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti di certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio nome comune (CN) che identifica la distribuzione di Hybrid Data Security

                                                                                                                                                  • Non è un certificato jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere un * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Usa il nome amichevole di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti organizzatore virtuale

                                                                                                                                                  Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:

                                                                                                                                                  • Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.


                                                                                                                                                     

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server

                                                                                                                                                  Requisiti server database


                                                                                                                                                   

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver Postgres JDBC 42.2.5

                                                                                                                                                  Driver JDBC server SQL 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.

                                                                                                                                                    Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocol

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi di sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella degli URL aggiuntivi per i servizi ibridi Webex dei requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comune

                                                                                                                                                  Americhe

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti server proxy

                                                                                                                                                  • Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione del digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completamento dei prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. (È necessario creare questo database; non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.)

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • nome host o indirizzo IP (host) e porta

                                                                                                                                                    • nome del database (dbname) per l'archiviazione chiave

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di memorizzazione delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.


                                                                                                                                                   

                                                                                                                                                  Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, la mancata gestione di una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080.

                                                                                                                                                  Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker.

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato HdsTrialGroup e aggiungere gli utenti pilota. Il gruppo di prova può contenere fino a 250 utenti. Il HdsTrialGroup oggetto deve essere sincronizzato con il cloud prima di poter avviare una versione di prova per la propria organizzazione. Per sincronizzare un oggetto di gruppo, selezionarlo in Connettore directory Configurazione > menu Selezione oggetto. (Per istruzioni dettagliate, vedere la Guida alla distribuzione per Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione di sicurezza dei dati ibridi, tutti gli utenti perderanno l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Flusso attività distribuzione sicurezza dati ibridi

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente.

                                                                                                                                                  2

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  4

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA.

                                                                                                                                                  5

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.

                                                                                                                                                  7

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Completare l'impostazione del cluster.

                                                                                                                                                  9

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)

                                                                                                                                                  Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  In questa attività, è possibile scaricare un file OVA sulla macchina (non sui server configurati come nodi di sicurezza dei dati ibridi). Utilizzare questo file in seguito nel processo di installazione.
                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi fare clic su Servizi.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.

                                                                                                                                                  Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.


                                                                                                                                                   

                                                                                                                                                  È inoltre possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni. Nella scheda Sicurezza dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dati ibridi nella sezione Guida .


                                                                                                                                                   

                                                                                                                                                  Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti di sicurezza dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti.

                                                                                                                                                  Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
                                                                                                                                                  4

                                                                                                                                                  Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida.

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:

                                                                                                                                                    • Credenziali del database

                                                                                                                                                    • Aggiornamenti dei certificati

                                                                                                                                                    • Modifiche ai criteri di autorizzazione

                                                                                                                                                  • Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

                                                                                                                                                  1

                                                                                                                                                  Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Alla richiesta della password, immettere questo hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  • In ambienti normali senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  Utilizzare un browser Web per passare all'host locale, http://127.0.0.1:8080 e immettere il nome utente di amministrazione cliente per Control Hub al prompt.

                                                                                                                                                  Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard.

                                                                                                                                                  7

                                                                                                                                                  Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Importazione ISO sono disponibili le seguenti opzioni:

                                                                                                                                                  • No: se stai creando il tuo primo nodo HDS, non disponi di un file ISO da caricare.
                                                                                                                                                  • : se sono già stati creati nodi HDS, selezionare il file ISO nel browser e caricarlo.
                                                                                                                                                  10

                                                                                                                                                  Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  • Se non è mai stato caricato un certificato prima, caricare il certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  • Se il certificato è OK, fare clic su Continua.
                                                                                                                                                  • Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continua a utilizzare la catena di certificati HDS e la chiave privata della precedente ISO?. Caricare un nuovo certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  11

                                                                                                                                                  Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave:

                                                                                                                                                  1. Selezionare il tipo di database (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Se si sceglie Microsoft SQL Server, viene visualizzato un campo Tipo di autenticazione.

                                                                                                                                                  2. (solo Microsoft SQL Server) Selezionare il tipo di autenticazione:

                                                                                                                                                    • Autenticazione di base: È necessario un nome di account SQL Server locale nel campo Nome utente.

                                                                                                                                                    • Autenticazione di Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente.

                                                                                                                                                  3. Immettere l'indirizzo del server del database nel modulo <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

                                                                                                                                                    Se si utilizza l'autenticazione Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433

                                                                                                                                                  4. Immettere il nome del database.

                                                                                                                                                  5. Immettere il nome utente e la password di un utente con tutti i privilegi nel database di storage dei tasti.

                                                                                                                                                  12

                                                                                                                                                  Selezionare una modalità di connessione al database TLS:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Preferire TLS (opzione predefinita)

                                                                                                                                                  I nodi HDS non richiedono che TLS si connetta al server del database. Se si abilita TLS sul server del database, i nodi tentano una connessione crittografata.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato


                                                                                                                                                   

                                                                                                                                                  Questa modalità non è applicabile ai database del server SQL.

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato e il nome host

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  • I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host database e porta. I nomi devono corrispondere esattamente oppure il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente.

                                                                                                                                                  13

                                                                                                                                                  Nella pagina Registri di sistema, configurare il server Syslogd:

                                                                                                                                                  1. Immettere l'URL del server syslog.

                                                                                                                                                    Se il server non è risolvibile con DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indica l'accesso all'host Syslogd 10.92.43.23 sulla porta UDP 514.
                                                                                                                                                  2. Se si imposta il server per utilizzare la crittografia TLS, verificare che Il server syslog sia configurato per la crittografia SSL?.

                                                                                                                                                    Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.

                                                                                                                                                  3. Dal menu a discesa Scegli terminazione record syslog, scegli l'impostazione appropriata per il tuo file ISO: Scegli o Newline viene utilizzato per Graylog e Rsyslog TCP

                                                                                                                                                    • Byte nullo -- \x00

                                                                                                                                                    • Newline -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Fare clic su Continua nella schermata Reimposta password account di servizio.

                                                                                                                                                  Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti.

                                                                                                                                                  16

                                                                                                                                                  Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

                                                                                                                                                  17

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale.

                                                                                                                                                  Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  18

                                                                                                                                                  Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi.

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Utilizzare questa procedura per creare una macchina virtuale dal file OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selezionare File > Distribuisci modello OVF.

                                                                                                                                                  3

                                                                                                                                                  Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo.

                                                                                                                                                  4

                                                                                                                                                  Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo.

                                                                                                                                                  5

                                                                                                                                                  Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo.

                                                                                                                                                  Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.

                                                                                                                                                  6

                                                                                                                                                  Verificare i dettagli del modello, quindi fare clic su Avanti.

                                                                                                                                                  7

                                                                                                                                                  Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo.

                                                                                                                                                  8

                                                                                                                                                  Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM.

                                                                                                                                                  9

                                                                                                                                                  Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.

                                                                                                                                                  10

                                                                                                                                                  Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:

                                                                                                                                                  • Nome host: inserisci il nome host FQDN (nome host e dominio) o un nome host di singola parola per il nodo.

                                                                                                                                                     
                                                                                                                                                    • Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                    • Per garantire una registrazione corretta nel cloud, utilizza solo caratteri minuscoli nel nome host o FQDN impostato per il nodo. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • La lunghezza totale del nome di dominio completo non deve superare 64 caratteri.

                                                                                                                                                  • Indirizzo IP: immettere l'indirizzo IP per l'interfaccia interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  • Maschera: immettere l'indirizzo della subnet mask in notazione dot decimale. ad esempio, 255.255.255.0.
                                                                                                                                                  • Gateway: immettere l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete.
                                                                                                                                                  • Server DNS: immettere un elenco separato da virgole di server DNS, che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (Sono consentite fino a 4 voci DNS).
                                                                                                                                                  • Server NTP: inserire il server NTP della propria organizzazione o un altro server NTP esterno che può essere utilizzato nella propria organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP.
                                                                                                                                                  • Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi.

                                                                                                                                                  Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  11

                                                                                                                                                  Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione.

                                                                                                                                                  Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere.

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  1

                                                                                                                                                  Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console.

                                                                                                                                                  La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
                                                                                                                                                  2

                                                                                                                                                  Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite:

                                                                                                                                                  1. Login: admin

                                                                                                                                                  2. Password: cisco

                                                                                                                                                  Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.

                                                                                                                                                  3

                                                                                                                                                  Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione.

                                                                                                                                                  4

                                                                                                                                                  Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  5

                                                                                                                                                  (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete.

                                                                                                                                                  Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto.

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

                                                                                                                                                  1

                                                                                                                                                  Caricare il file ISO dal computer:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.

                                                                                                                                                  2. Nell'elenco hardware della scheda Configurazione, fare clic su Storage.

                                                                                                                                                  3. Nell'elenco dei datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.

                                                                                                                                                  4. Fare clic sull’icona Carica file, quindi fare clic su Carica file.

                                                                                                                                                  5. Individuare la posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.

                                                                                                                                                  6. Fare clic su per accettare l'avviso di caricamento/download e chiudere la finestra di dialogo del datastore.

                                                                                                                                                  2

                                                                                                                                                  Montare il file ISO:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Fare clic su OK per accettare l'avviso delle opzioni di modifica limitate.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1, selezionare l'opzione per il montaggio da un file ISO datastore e passare alla posizione in cui è stato caricato il file ISO di configurazione.

                                                                                                                                                  4. Controllare Connesso e Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e riavviare la macchina virtuale.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserisci l'URL di impostazione del nodo HDS https://[HDS Node IP or FQDN]/setup in un browser Web, immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Vai su Trust Store & Proxy, quindi scegli un'opzione:

                                                                                                                                                  • Nessun proxy: opzione predefinita prima dell'integrazione di un proxy. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy con ispezione trasparente: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica alla configurazione HTTPS è necessaria nella distribuzione di Hybrid Data Security; tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Una volta scelta questa opzione, è necessario immettere le seguenti informazioni:
                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: selezionare http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base a quanto supportato dal server proxy.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo per proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                  Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti.

                                                                                                                                                  Il nodo si riavvia entro pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Questa attività prende il nodo generico creato in Imposta VM di sicurezza dei dati ibridi, registra il nodo con il cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dal menu sul lato sinistro della schermata, selezionare Servizi.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta.

                                                                                                                                                  Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
                                                                                                                                                  4

                                                                                                                                                  Seleziona per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                  Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
                                                                                                                                                  7

                                                                                                                                                  Fare clic su Vai a nodo.

                                                                                                                                                  8

                                                                                                                                                  Fare clic su Continua nel messaggio di avviso.

                                                                                                                                                  Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
                                                                                                                                                  9

                                                                                                                                                  Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                  L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Per aggiungere altri nodi al cluster, è sufficiente creare ulteriori VM e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di avere almeno 3 nodi.

                                                                                                                                                   

                                                                                                                                                  In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS.

                                                                                                                                                  2

                                                                                                                                                  Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM.

                                                                                                                                                  3

                                                                                                                                                  Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registrare il nodo.

                                                                                                                                                  1. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2. Nella sezione Hybrid Services (Servizi ibridi), trovare la scheda Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Resources (Risorse).

                                                                                                                                                    Viene visualizzata la pagina Risorse sicurezza dati ibridi.
                                                                                                                                                  3. Fare clic su Aggiungi risorsa.

                                                                                                                                                  4. Nel primo campo, selezionare il nome del cluster esistente.

                                                                                                                                                  5. Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                    Viene visualizzato un messaggio che indica che è possibile registrare il nodo sul cloud Webex.
                                                                                                                                                  6. Fare clic su Vai a nodo.

                                                                                                                                                    Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al tuo nodo.
                                                                                                                                                  7. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                    L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  8. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)
                                                                                                                                                  Eseguire una versione di prova e passare alla produzione

                                                                                                                                                  Flusso attività da prova a produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare il HdsTrialGroup oggetto di gruppo.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di avviare una versione di prova. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase trial con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, HdsTrialGroup.)

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.


                                                                                                                                                   

                                                                                                                                                  Se si disattiva la distribuzione di sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1. Per verificare se un utente stabilisce prima un canale sicuro per il KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come quella che segue (identificativi più brevi per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorse KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato all'interno di Control Hub mostra se tutto funziona correttamente con la distribuzione di Hybrid Data Security. Per avvisi più proattivi, iscriviti per le notifiche e-mail. Verrai informato quando sono presenti allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni).

                                                                                                                                                  Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Una volta attivata una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere i membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva .

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Quando si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova, è possibile passare alla produzione. Quando si passa alla produzione, tutti gli utenti nell'organizzazione utilizzeranno il dominio di sicurezza dei dati ibridi locale per le chiavi di crittografia e altri servizi di area di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattivi il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione).

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non procedere con la distribuzione di Hybrid Data Security, è possibile disattivare Hybrid Data Security, che termina la versione di prova e trasferisce gli utenti di prova ai servizi di sicurezza dei dati su cloud. Gli utenti dello studio perderanno l'accesso ai dati crittografati durante lo studio.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la prova.

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster, per garantire che tutti i nodi utilizzino sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile eseguire manualmente l'aggiornamento del cluster prima dell'ora di aggiornamento pianificata. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3:00 AM Daily Stati Uniti: America/Los Angeles. È anche possibile scegliere di posticipare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento.

                                                                                                                                                  Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  Occasionalmente potrebbe essere necessario modificare la configurazione del nodo Sicurezza dati ibridi per motivi quali:
                                                                                                                                                  • Modifica dei certificati x.509 a causa di una scadenza o altri motivi.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.

                                                                                                                                                  Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2. Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Alla richiesta della password, immettere questo hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    • In ambienti normali senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6. Utilizzare un browser per connettersi a localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  7. Quando richiesto, immettere le credenziali di accesso del cliente , quindi fare clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registrare il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1 Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattivazione della modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Overview (pagina predefinita).

                                                                                                                                                  Quando abilitata, Risoluzione DNS esterno bloccato è impostato su .

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibilità e proxy.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test di connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimozione di un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per impedire un ulteriore accesso ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovi il nodo:

                                                                                                                                                  1. Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse sicurezza dati ibridi.

                                                                                                                                                  3. Selezionare il cluster per visualizzarne il pannello Panoramica.

                                                                                                                                                  4. Fare clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fare clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina).

                                                                                                                                                  Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il passiveMode configurazione per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. “KMS configurato in modalità passiva” non deve apparire nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati standby in modalità passiva seguendo la procedura descritta in Imposta centro dati standby per ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio ISO dopo configurazione HDS

                                                                                                                                                  La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.

                                                                                                                                                  Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Chiudere uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nella vCenter Server Appliance, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegli Modifica impostazioni > unità CD/DVD e deseleziona Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere per ciascun nodo HDS a sua volta.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • I titoli dei messaggi e dello spazio non vengono decrittografati per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e le fasi per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Verificare la presenza di errori nel database o problemi di rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione del servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione ai servizi cloud.

                                                                                                                                                  Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password nel file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso alla rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi.

                                                                                                                                                  2

                                                                                                                                                  Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).

                                                                                                                                                  Uso di OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file di bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome amichevole kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password quando viene richiesto di crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee friendlyName: kms-private-key.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12 file e la password impostata, in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico incasso metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  Websocket non può connettersi tramite proxy Squid

                                                                                                                                                  I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamaro 4 e 5

                                                                                                                                                  Aggiungi il on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamaro 3.5.27

                                                                                                                                                  Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche apportate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker.

                                                                                                                                                  24 giugno 2021

                                                                                                                                                  Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12.

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale.

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Aggiornato Scarica file di installazione.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro.

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS.
                                                                                                                                                  4 febbraio 2020Aggiornati i requisiti del server proxy.
                                                                                                                                                  16 dicembre 2019Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Aggiornate di conseguenza le seguenti sezioni:


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunto SQL Server Standard ai requisiti del server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto.
                                                                                                                                                  20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex.

                                                                                                                                                  13 giugno 2019Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio su disco rigido locale per server da impostare quando si preparano gli host virtuali che diventano nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, in modo da riflettere la dimensione del disco creato dal file OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornata la creazione di un ISO di configurazione per gli host HDS con le istruzioni.

                                                                                                                                                  • URL di destinazione rimossi dalla tabella "Requisiti di connettività Internet per le VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (cluster di failover sempre attivi e gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati in Hybrid Data Security. Aggiunto contenuto relativo alla distribuzione con SQL Server.


                                                                                                                                                     

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  giovedì 19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata per riflettere il rebranding di Cisco Spark:

                                                                                                                                                  • La sicurezza dei dati ibridi Cisco Spark è ora Sicurezza dei dati ibridi.

                                                                                                                                                  • L'app Cisco Spark ora è l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella dei requisiti di certificato X.509, è specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Chiarificazione della sincronizzazione delle rubriche di HdsTrialGroup.

                                                                                                                                                  • Istruzioni fisse per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.

                                                                                                                                                  Architettura dell'area di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Campi di separazione (senza sicurezza dei dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

                                                                                                                                                  La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:

                                                                                                                                                  • Gestire il backup e il ripristino del database e della configurazione ISO.

                                                                                                                                                  • Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.


                                                                                                                                                   

                                                                                                                                                  Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS.

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:

                                                                                                                                                  • Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.

                                                                                                                                                  • Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova della sicurezza dei dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.

                                                                                                                                                  Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati standby per ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Failover manuale su centro dati standby

                                                                                                                                                  I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Imposta centro dati standby per ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).

                                                                                                                                                  • Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del data center principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare i registri di sistema per verificare che i nodi siano in modalità passiva. È necessario essere in grado di visualizzare il messaggio "KMS configurato in modalità passiva" nei registri di sistema.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo la configurazione passiveMode nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP: visualizza e controlla tutte le richieste inviate dal client.

                                                                                                                                                      • HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti della licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti desktop docker

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".

                                                                                                                                                  Requisiti di certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti di certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio nome comune (CN) che identifica la distribuzione di Hybrid Data Security

                                                                                                                                                  • Non è un certificato jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere un * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Usa il nome amichevole di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti organizzatore virtuale

                                                                                                                                                  Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:

                                                                                                                                                  • Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.


                                                                                                                                                     

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server

                                                                                                                                                  Requisiti server database


                                                                                                                                                   

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver Postgres JDBC 42.2.5

                                                                                                                                                  Driver JDBC server SQL 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.

                                                                                                                                                    Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocol

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi di sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella degli URL aggiuntivi per i servizi ibridi Webex dei requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comune

                                                                                                                                                  Americhe

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti server proxy

                                                                                                                                                  • Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione del digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completamento dei prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. (È necessario creare questo database; non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.)

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • nome host o indirizzo IP (host) e porta

                                                                                                                                                    • nome del database (dbname) per l'archiviazione chiave

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di memorizzazione delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.


                                                                                                                                                   

                                                                                                                                                  Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, la mancata gestione di una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080.

                                                                                                                                                  Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker.

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato HdsTrialGroup e aggiungere gli utenti pilota. Il gruppo di prova può contenere fino a 250 utenti. Il HdsTrialGroup oggetto deve essere sincronizzato con il cloud prima di poter avviare una versione di prova per la propria organizzazione. Per sincronizzare un oggetto di gruppo, selezionarlo in Connettore directory Configurazione > menu Selezione oggetto. (Per istruzioni dettagliate, vedere la Guida alla distribuzione per Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione di sicurezza dei dati ibridi, tutti gli utenti perderanno l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Flusso attività distribuzione sicurezza dati ibridi

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente.

                                                                                                                                                  2

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  4

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA.

                                                                                                                                                  5

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.

                                                                                                                                                  7

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Completare l'impostazione del cluster.

                                                                                                                                                  9

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)

                                                                                                                                                  Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  In questa attività, è possibile scaricare un file OVA sulla macchina (non sui server configurati come nodi di sicurezza dei dati ibridi). Utilizzare questo file in seguito nel processo di installazione.
                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi fare clic su Servizi.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.

                                                                                                                                                  Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.


                                                                                                                                                   

                                                                                                                                                  È inoltre possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni. Nella scheda Sicurezza dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dati ibridi nella sezione Guida .


                                                                                                                                                   

                                                                                                                                                  Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti di sicurezza dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti.

                                                                                                                                                  Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
                                                                                                                                                  4

                                                                                                                                                  Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida.

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:

                                                                                                                                                    • Credenziali del database

                                                                                                                                                    • Aggiornamenti dei certificati

                                                                                                                                                    • Modifiche ai criteri di autorizzazione

                                                                                                                                                  • Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

                                                                                                                                                  1

                                                                                                                                                  Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Alla richiesta della password, immettere questo hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  • In ambienti normali senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  Utilizzare un browser Web per passare all'host locale, http://127.0.0.1:8080 e immettere il nome utente di amministrazione cliente per Control Hub al prompt.

                                                                                                                                                  Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard.

                                                                                                                                                  7

                                                                                                                                                  Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Importazione ISO sono disponibili le seguenti opzioni:

                                                                                                                                                  • No: se stai creando il tuo primo nodo HDS, non disponi di un file ISO da caricare.
                                                                                                                                                  • : se sono già stati creati nodi HDS, selezionare il file ISO nel browser e caricarlo.
                                                                                                                                                  10

                                                                                                                                                  Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  • Se non è mai stato caricato un certificato prima, caricare il certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  • Se il certificato è OK, fare clic su Continua.
                                                                                                                                                  • Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continua a utilizzare la catena di certificati HDS e la chiave privata della precedente ISO?. Caricare un nuovo certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  11

                                                                                                                                                  Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave:

                                                                                                                                                  1. Selezionare il tipo di database (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Se si sceglie Microsoft SQL Server, viene visualizzato un campo Tipo di autenticazione.

                                                                                                                                                  2. (solo Microsoft SQL Server) Selezionare il tipo di autenticazione:

                                                                                                                                                    • Autenticazione di base: È necessario un nome di account SQL Server locale nel campo Nome utente.

                                                                                                                                                    • Autenticazione di Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente.

                                                                                                                                                  3. Immettere l'indirizzo del server del database nel modulo <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

                                                                                                                                                    Se si utilizza l'autenticazione Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433

                                                                                                                                                  4. Immettere il nome del database.

                                                                                                                                                  5. Immettere il nome utente e la password di un utente con tutti i privilegi nel database di storage dei tasti.

                                                                                                                                                  12

                                                                                                                                                  Selezionare una modalità di connessione al database TLS:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Preferire TLS (opzione predefinita)

                                                                                                                                                  I nodi HDS non richiedono che TLS si connetta al server del database. Se si abilita TLS sul server del database, i nodi tentano una connessione crittografata.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato


                                                                                                                                                   

                                                                                                                                                  Questa modalità non è applicabile ai database del server SQL.

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Require TLS e verificare il firmatario del certificato e il nome host

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database è in grado di negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  • I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host database e porta. I nomi devono corrispondere esattamente oppure il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il certificato radice database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente.

                                                                                                                                                  13

                                                                                                                                                  Nella pagina Registri di sistema, configurare il server Syslogd:

                                                                                                                                                  1. Immettere l'URL del server syslog.

                                                                                                                                                    Se il server non è risolvibile con DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indica l'accesso all'host Syslogd 10.92.43.23 sulla porta UDP 514.
                                                                                                                                                  2. Se si imposta il server per utilizzare la crittografia TLS, verificare che Il server syslog sia configurato per la crittografia SSL?.

                                                                                                                                                    Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.

                                                                                                                                                  3. Dal menu a discesa Scegli terminazione record syslog, scegli l'impostazione appropriata per il tuo file ISO: Scegli o Newline viene utilizzato per Graylog e Rsyslog TCP

                                                                                                                                                    • Byte nullo -- \x00

                                                                                                                                                    • Newline -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Fare clic su Continua nella schermata Reimposta password account di servizio.

                                                                                                                                                  Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti.

                                                                                                                                                  16

                                                                                                                                                  Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

                                                                                                                                                  17

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale.

                                                                                                                                                  Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  18

                                                                                                                                                  Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi.

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Utilizzare questa procedura per creare una macchina virtuale dal file OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selezionare File > Distribuisci modello OVF.

                                                                                                                                                  3

                                                                                                                                                  Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo.

                                                                                                                                                  4

                                                                                                                                                  Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo.

                                                                                                                                                  5

                                                                                                                                                  Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo.

                                                                                                                                                  Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.

                                                                                                                                                  6

                                                                                                                                                  Verificare i dettagli del modello, quindi fare clic su Avanti.

                                                                                                                                                  7

                                                                                                                                                  Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo.

                                                                                                                                                  8

                                                                                                                                                  Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM.

                                                                                                                                                  9

                                                                                                                                                  Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.

                                                                                                                                                  10

                                                                                                                                                  Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:

                                                                                                                                                  • Nome host: inserisci il nome host FQDN (nome host e dominio) o un nome host di singola parola per il nodo.

                                                                                                                                                     
                                                                                                                                                    • Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                    • Per garantire una registrazione corretta nel cloud, utilizza solo caratteri minuscoli nel nome host o FQDN impostato per il nodo. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • La lunghezza totale del nome di dominio completo non deve superare 64 caratteri.

                                                                                                                                                  • Indirizzo IP: immettere l'indirizzo IP per l'interfaccia interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  • Maschera: immettere l'indirizzo della subnet mask in notazione dot decimale. ad esempio, 255.255.255.0.
                                                                                                                                                  • Gateway: immettere l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete.
                                                                                                                                                  • Server DNS: immettere un elenco separato da virgole di server DNS, che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (Sono consentite fino a 4 voci DNS).
                                                                                                                                                  • Server NTP: inserire il server NTP della propria organizzazione o un altro server NTP esterno che può essere utilizzato nella propria organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP.
                                                                                                                                                  • Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi.

                                                                                                                                                  Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  11

                                                                                                                                                  Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione.

                                                                                                                                                  Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere.

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  1

                                                                                                                                                  Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console.

                                                                                                                                                  La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
                                                                                                                                                  2

                                                                                                                                                  Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite:

                                                                                                                                                  1. Login: admin

                                                                                                                                                  2. Password: cisco

                                                                                                                                                  Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.

                                                                                                                                                  3

                                                                                                                                                  Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione.

                                                                                                                                                  4

                                                                                                                                                  Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  5

                                                                                                                                                  (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete.

                                                                                                                                                  Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto.

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

                                                                                                                                                  1

                                                                                                                                                  Caricare il file ISO dal computer:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.

                                                                                                                                                  2. Nell'elenco hardware della scheda Configurazione, fare clic su Storage.

                                                                                                                                                  3. Nell'elenco dei datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.

                                                                                                                                                  4. Fare clic sull’icona Carica file, quindi fare clic su Carica file.

                                                                                                                                                  5. Individuare la posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.

                                                                                                                                                  6. Fare clic su per accettare l'avviso di caricamento/download e chiudere la finestra di dialogo del datastore.

                                                                                                                                                  2

                                                                                                                                                  Montare il file ISO:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Fare clic su OK per accettare l'avviso delle opzioni di modifica limitate.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1, selezionare l'opzione per il montaggio da un file ISO datastore e passare alla posizione in cui è stato caricato il file ISO di configurazione.

                                                                                                                                                  4. Controllare Connesso e Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e riavviare la macchina virtuale.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserisci l'URL di impostazione del nodo HDS https://[HDS Node IP or FQDN]/setup in un browser Web, immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Vai su Trust Store & Proxy, quindi scegli un'opzione:

                                                                                                                                                  • Nessun proxy: opzione predefinita prima dell'integrazione di un proxy. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy con ispezione trasparente: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica alla configurazione HTTPS è necessaria nella distribuzione di Hybrid Data Security; tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Una volta scelta questa opzione, è necessario immettere le seguenti informazioni:
                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: selezionare http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base a quanto supportato dal server proxy.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo per proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                  Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti.

                                                                                                                                                  Il nodo si riavvia entro pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Questa attività prende il nodo generico creato in Imposta VM di sicurezza dei dati ibridi, registra il nodo con il cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dal menu sul lato sinistro della schermata, selezionare Servizi.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta.

                                                                                                                                                  Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
                                                                                                                                                  4

                                                                                                                                                  Seleziona per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                  Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
                                                                                                                                                  7

                                                                                                                                                  Fare clic su Vai a nodo.

                                                                                                                                                  8

                                                                                                                                                  Fare clic su Continua nel messaggio di avviso.

                                                                                                                                                  Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
                                                                                                                                                  9

                                                                                                                                                  Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                  L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Per aggiungere altri nodi al cluster, è sufficiente creare ulteriori VM e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di avere almeno 3 nodi.

                                                                                                                                                   

                                                                                                                                                  In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS.

                                                                                                                                                  2

                                                                                                                                                  Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM.

                                                                                                                                                  3

                                                                                                                                                  Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registrare il nodo.

                                                                                                                                                  1. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2. Nella sezione Hybrid Services (Servizi ibridi), trovare la scheda Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Resources (Risorse).

                                                                                                                                                    Viene visualizzata la pagina Risorse sicurezza dati ibridi.
                                                                                                                                                  3. Fare clic su Aggiungi risorsa.

                                                                                                                                                  4. Nel primo campo, selezionare il nome del cluster esistente.

                                                                                                                                                  5. Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                    Viene visualizzato un messaggio che indica che è possibile registrare il nodo sul cloud Webex.
                                                                                                                                                  6. Fare clic su Vai a nodo.

                                                                                                                                                    Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al tuo nodo.
                                                                                                                                                  7. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                    L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  8. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)
                                                                                                                                                  Eseguire una versione di prova e passare alla produzione

                                                                                                                                                  Flusso attività da prova a produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare il HdsTrialGroup oggetto di gruppo.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di avviare una versione di prova. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase trial con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, HdsTrialGroup.)

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.


                                                                                                                                                   

                                                                                                                                                  Se si disattiva la distribuzione di sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1. Per verificare se un utente stabilisce prima un canale sicuro per il KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come quella che segue (identificativi più brevi per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorse KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato all'interno di Control Hub mostra se tutto funziona correttamente con la distribuzione di Hybrid Data Security. Per avvisi più proattivi, iscriviti per le notifiche e-mail. Verrai informato quando sono presenti allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni).

                                                                                                                                                  Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Una volta attivata una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere i membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva .

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Quando si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova, è possibile passare alla produzione. Quando si passa alla produzione, tutti gli utenti nell'organizzazione utilizzeranno il dominio di sicurezza dei dati ibridi locale per le chiavi di crittografia e altri servizi di area di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattivi il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione).

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non procedere con la distribuzione di Hybrid Data Security, è possibile disattivare Hybrid Data Security, che termina la versione di prova e trasferisce gli utenti di prova ai servizi di sicurezza dei dati su cloud. Gli utenti dello studio perderanno l'accesso ai dati crittografati durante lo studio.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la prova.

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster, per garantire che tutti i nodi utilizzino sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile eseguire manualmente l'aggiornamento del cluster prima dell'ora di aggiornamento pianificata. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3:00 AM Daily Stati Uniti: America/Los Angeles. È anche possibile scegliere di posticipare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento.

                                                                                                                                                  Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  Occasionalmente potrebbe essere necessario modificare la configurazione del nodo Sicurezza dati ibridi per motivi quali:
                                                                                                                                                  • Modifica dei certificati x.509 a causa di una scadenza o altri motivi.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.

                                                                                                                                                  Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

                                                                                                                                                  2. Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Alla richiesta della password, immettere questo hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scaricare l'immagine stabile più recente per il proprio ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine del pull, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    • In ambienti normali senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

                                                                                                                                                  6. Utilizzare un browser per connettersi a localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  7. Quando richiesto, immettere le credenziali di accesso del cliente , quindi fare clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per chiudere lo strumento di installazione, digitare CTRL+C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registrare il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1 Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattivazione della modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Overview (pagina predefinita).

                                                                                                                                                  Quando abilitata, Risoluzione DNS esterno bloccato è impostato su .

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibilità e proxy.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test di connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimozione di un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per impedire un ulteriore accesso ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovi il nodo:

                                                                                                                                                  1. Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse sicurezza dati ibridi.

                                                                                                                                                  3. Selezionare il cluster per visualizzarne il pannello Panoramica.

                                                                                                                                                  4. Fare clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fare clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina).

                                                                                                                                                  Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il passiveMode configurazione per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. “KMS configurato in modalità passiva” non deve apparire nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati standby in modalità passiva seguendo la procedura descritta in Imposta centro dati standby per ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio ISO dopo configurazione HDS

                                                                                                                                                  La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.

                                                                                                                                                  Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Chiudere uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nella vCenter Server Appliance, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegli Modifica impostazioni > unità CD/DVD e deseleziona Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere per ciascun nodo HDS a sua volta.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • I titoli dei messaggi e dello spazio non vengono decrittografati per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e le fasi per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Verificare la presenza di errori nel database o problemi di rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione del servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione ai servizi cloud.

                                                                                                                                                  Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password nel file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso alla rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi.

                                                                                                                                                  2

                                                                                                                                                  Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).

                                                                                                                                                  Uso di OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file di bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome amichevole kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password quando viene richiesto di crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee friendlyName: kms-private-key.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12 file e la password impostata, in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico incasso metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  Websocket non può connettersi tramite proxy Squid

                                                                                                                                                  I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamaro 4 e 5

                                                                                                                                                  Aggiungi il on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamaro 3.5.27

                                                                                                                                                  Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche apportate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  giovedì 13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker.

                                                                                                                                                  Giovedì 24 giugno 2021

                                                                                                                                                  Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12 .

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale .

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS .

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS .

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Aggiornato Scarica file di installazione.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro.

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS.
                                                                                                                                                  4 febbraio 2020Aggiornati i requisiti del server proxy.
                                                                                                                                                  16 dicembre 2019Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Aggiornate di conseguenza le seguenti sezioni:


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunto SQL Server Standard ai requisiti del server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto.
                                                                                                                                                  È il 20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex.

                                                                                                                                                  13 giugno 2019Aggiornato il flusso attività di prova su produzione con un promemoria per sincronizzare l'oggetto di gruppo HdsTrialGroup prima di avviare una prova, se la propria organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio su disco rigido locale per server da impostare quando si preparano gli host virtuali che diventano nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, in modo da riflettere la dimensione del disco creato dal file OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornata la creazione di un ISO di configurazione per gli host HDS con le istruzioni.

                                                                                                                                                  • URL di destinazione rimossi dalla tabella "Requisiti di connettività Internet per le VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (cluster di failover sempre attivi e gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati in Hybrid Data Security. Aggiunto contenuto relativo alla distribuzione con SQL Server.


                                                                                                                                                     

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata per riflettere il rebranding di Cisco Spark:

                                                                                                                                                  • La sicurezza dei dati ibridi Cisco Spark è ora Sicurezza dei dati ibridi.

                                                                                                                                                  • L'app Cisco Spark ora è l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella dei requisiti di certificato X.509 , è specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Chiarificazione della sincronizzazione delle rubriche di HdsTrialGroup.

                                                                                                                                                  • Istruzioni fisse per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La chiave di volta di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

                                                                                                                                                  Architettura dell'area di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Campi di separazione (senza sicurezza dei dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il cliente stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

                                                                                                                                                  La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:

                                                                                                                                                  • Gestire il backup e il ripristino del database e della configurazione ISO.

                                                                                                                                                  • Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.


                                                                                                                                                   

                                                                                                                                                  Non è disponibile alcun meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS.

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:

                                                                                                                                                  • Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.

                                                                                                                                                  • Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova della sicurezza dei dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.

                                                                                                                                                  Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati standby per ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.

                                                                                                                                                  Prima del failover, il centro dati A dispone di nodi HDS attivi e del database principale PostgreSQL o Microsoft SQL Server, mentre B dispone di una copia del file ISO con configurazioni aggiuntive, VM registrate nell'organizzazione e un database standby. Dopo il failover, il centro dati B dispone di nodi HDS attivi e del database principale, mentre A ha VM non registrate e una copia del file ISO e il database è in modalità standby.
                                                                                                                                                  Failover manuale su centro dati standby

                                                                                                                                                  I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Imposta centro dati standby per ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. (Vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).

                                                                                                                                                  • Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del data center principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate , aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.

                                                                                                                                                   Modalità passiva: "vero" 

                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare i registri di sistema per verificare che i nodi siano in modalità passiva. È necessario essere in grado di visualizzare il messaggio "KMS configurato in modalità passiva" nei registri di sistema.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo aver configurato la modalità passiva nel file ISO e averlo salvato, è possibile creare un'altra copia del file ISO senza la configurazione della modalità passiva e salvarlo in una posizione sicura. Questa copia del file ISO senza modalità passiva configurata può aiutare in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza il nodo HDS Trust Store e configurazione proxy per integrare un proxy. Nessun aggiornamento certificato richiesto.

                                                                                                                                                  • Proxy trasparente non ispezionato: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.

                                                                                                                                                  • Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP — Visualizza e controlla tutte le richieste che il client invia.

                                                                                                                                                      • HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede l'inserimento del nome utente e della password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede l'inserimento del nome utente e della password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti della licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti desktop docker

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

                                                                                                                                                  Requisiti di certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti di certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio nome comune (CN) che identifica la distribuzione di Hybrid Data Security

                                                                                                                                                  • Non è un certificato jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere un * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicabile sia alle distribuzioni di prova che a quelle di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Utilizzare il nome amichevole di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti organizzatore virtuale

                                                                                                                                                  Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:

                                                                                                                                                  • Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.


                                                                                                                                                     

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server

                                                                                                                                                  Requisiti server database


                                                                                                                                                   

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, memoria principale da 16 GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per molto tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, memoria principale da 16 GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per molto tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC server SQL 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.

                                                                                                                                                    Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocol

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi di sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella degli URL aggiuntivi per i servizi ibridi Webex dei requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comune

                                                                                                                                                  Americhe

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti del server proxy

                                                                                                                                                  • Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                    • Proxy trasparente — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Proxy esplicito-calamaro.


                                                                                                                                                       

                                                                                                                                                      I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completamento dei prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. (È necessario creare questo database; non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.)

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • nome host o indirizzo IP (host) e porta

                                                                                                                                                    • nome del database (dbname) per l'archiviazione chiave

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di memorizzazione delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.


                                                                                                                                                   

                                                                                                                                                  Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, la mancata gestione di una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080.

                                                                                                                                                  Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker .

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory denominato HdsTrialGroup e aggiungere utenti pilota. Il gruppo di prova può contenere fino a 250 utenti. L'oggetto HdsTrialGroup deve essere sincronizzato con il cloud prima di poter avviare una prova per la propria organizzazione. Per sincronizzare un oggetto di gruppo, selezionarlo nel menu Configurazione > Selezione oggetto di Connettore directory. (Per istruzioni dettagliate, vedere la Guida alla distribuzione per Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione di sicurezza dei dati ibridi, tutti gli utenti perderanno l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Hybrid Data Security Deployment Task Flow

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Download Installation Files

                                                                                                                                                  Download the OVA file to your local machine for later use.

                                                                                                                                                  2

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

                                                                                                                                                  3

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Create a virtual machine from the OVA file and perform initial configuration, such as network settings.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  4

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  5

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

                                                                                                                                                  7

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  Complete the cluster setup.

                                                                                                                                                  9

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Download Installation Files

                                                                                                                                                  In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.
                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then click Services.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

                                                                                                                                                  If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.


                                                                                                                                                   

                                                                                                                                                  You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.


                                                                                                                                                   

                                                                                                                                                  Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

                                                                                                                                                  3

                                                                                                                                                  Select No to indicate that you haven’t set up the node yet, and then click Next.

                                                                                                                                                  The OVA file automatically begins to download. Save the file to a location on your machine.
                                                                                                                                                  4

                                                                                                                                                  Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    Proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:

                                                                                                                                                    • Database credentials

                                                                                                                                                    • Certificate updates

                                                                                                                                                    • Changes to authorization policy

                                                                                                                                                  • If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

                                                                                                                                                  1

                                                                                                                                                  Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro dell'immagine Docker, inserire quanto segue:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Alla richiesta della password, immettere questo cancelletto:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scarica l'ultima immagine stabile per l'ambiente in uso:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                  • In ambienti normali senza un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regular environments with an HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

                                                                                                                                                  The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

                                                                                                                                                  7

                                                                                                                                                  When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  On the Setup Tool overview page, click Get Started.

                                                                                                                                                  9

                                                                                                                                                  On the ISO Import page, you have these options:

                                                                                                                                                  • No—If you’re creating your first HDS node, you don't have an ISO file to upload.
                                                                                                                                                  • Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.
                                                                                                                                                  10

                                                                                                                                                  Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

                                                                                                                                                  • If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  • If your certificate is OK, click Continue.
                                                                                                                                                  • If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  11

                                                                                                                                                  Enter the database address and account for HDS to access your key datastore:

                                                                                                                                                  1. Select your Database Type (PostgreSQL or Microsoft SQL Server).

                                                                                                                                                    If you choose Microsoft SQL Server, you get an Authentication Type field.

                                                                                                                                                  2. (Microsoft SQL Server only) Select your Authentication Type:

                                                                                                                                                    • Basic Authentication: You need a local SQL Server account name in the Username field.

                                                                                                                                                    • Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.

                                                                                                                                                  3. Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 or 198.51.100.17:1433

                                                                                                                                                    You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

                                                                                                                                                    If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433

                                                                                                                                                  4. Enter the Database Name.

                                                                                                                                                  5. Enter the Username and Password of a user with all privileges on the key storage database.

                                                                                                                                                  12

                                                                                                                                                  Select a TLS Database Connection Mode:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Prefer TLS (default option)

                                                                                                                                                  I nodi HDS non richiedono tls per la connessione al server di database. If you enable TLS on the database server, the nodes attempt an encrypted connection.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.

                                                                                                                                                  Richiedere TLS e verificare il firmatario del certificato


                                                                                                                                                   

                                                                                                                                                  This mode isn’t applicable for SQL Server databases.

                                                                                                                                                  • I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Se non corrispondono, il nodo elimina la connessione.

                                                                                                                                                  Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Richiedere TLS e verificare il firmatario e il nome host del certificato

                                                                                                                                                  • I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Se non corrispondono, il nodo elimina la connessione.

                                                                                                                                                  • The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. I nomi devono corrispondere esattamente oppure il nodo elimina la connessione.

                                                                                                                                                  Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

                                                                                                                                                  13

                                                                                                                                                  On the System Logs page, configure your Syslogd server:

                                                                                                                                                  1. Enter the syslog server URL.

                                                                                                                                                    If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
                                                                                                                                                  2. If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

                                                                                                                                                    If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.

                                                                                                                                                  3. From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Select this choice for Graylog and Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

                                                                                                                                                  app_datasource_connection_pool_maxDimensioni: 10
                                                                                                                                                  15

                                                                                                                                                  Click Continue on the Reset Service Accounts Password screen.

                                                                                                                                                  Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

                                                                                                                                                  16

                                                                                                                                                  Click Download ISO File. Save the file in a location that's easy to find.

                                                                                                                                                  17

                                                                                                                                                  Make a backup copy of the ISO file on your local system.

                                                                                                                                                  Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  18

                                                                                                                                                  Per chiudere lo strumento di impostazione, digitare CTRL + C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.


                                                                                                                                                   

                                                                                                                                                  We never have a copy of this key and can't help if you lose it.

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Use this procedure to create a virtual machine from the OVA file.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host.

                                                                                                                                                  2

                                                                                                                                                  Select File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

                                                                                                                                                  4

                                                                                                                                                  On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  On the Select a compute resource page, choose the destination compute resource, and then click Next.

                                                                                                                                                  A validation check runs. After it finishes, the template details appear.

                                                                                                                                                  6

                                                                                                                                                  Verify the template details and then click Next.

                                                                                                                                                  7

                                                                                                                                                  If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

                                                                                                                                                  8

                                                                                                                                                  On the Select storage page, click Next to accept the default disk format and VM storage policy.

                                                                                                                                                  9

                                                                                                                                                  On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

                                                                                                                                                  10

                                                                                                                                                  On the Customize template page, configure the following network settings:

                                                                                                                                                  • Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

                                                                                                                                                     
                                                                                                                                                    • You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                    • To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • The total length of the FQDN must not exceed 64 characters.

                                                                                                                                                  • IP Address— Enter the IP address for the internal interface of the node.

                                                                                                                                                     

                                                                                                                                                    Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  • Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
                                                                                                                                                  • Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
                                                                                                                                                  • DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
                                                                                                                                                  • NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.
                                                                                                                                                  • Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

                                                                                                                                                  If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  11

                                                                                                                                                  Right-click the node VM, and then choose Power > Power On.

                                                                                                                                                  The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  1

                                                                                                                                                  In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab.

                                                                                                                                                  The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
                                                                                                                                                  2

                                                                                                                                                  Use the following default login and password to sign in and change the credentials:

                                                                                                                                                  1. Login: Amministrazione

                                                                                                                                                  2. Password: Cisco

                                                                                                                                                  Since you are signing in to your VM for the first time, you are required to change the administrator password.

                                                                                                                                                  3

                                                                                                                                                  If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.

                                                                                                                                                  4

                                                                                                                                                  Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy.

                                                                                                                                                  You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                  6

                                                                                                                                                  Save the network configuration and reboot the VM so that the changes take effect.

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

                                                                                                                                                  1

                                                                                                                                                  Upload the ISO file from your computer:

                                                                                                                                                  1. In the VMware vSphere client's left navigation pane, click on the ESXi server.

                                                                                                                                                  2. On the Configuration tab's Hardware list, click Storage.

                                                                                                                                                  3. In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.

                                                                                                                                                  4. Click on the Upload Files icon, and then click Upload File.

                                                                                                                                                  5. Browse to the location where you downloaded the ISO file on your computer and click Open.

                                                                                                                                                  6. Click Yes to accept the upload/download operation warning, and close the datastore dialog.

                                                                                                                                                  2

                                                                                                                                                  Mount the ISO file:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Click OK to accept the restricted edit options warning.

                                                                                                                                                  3. Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.

                                                                                                                                                  4. Check Connected and Connect at power on.

                                                                                                                                                  5. Save your changes and reboot the virtual machine.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserire l'URL di installazione del nodo HDS https://[IP node HDS o nome di dominio completo]/Setup in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a attendibilità archivio e proxy, quindi scegliere un'opzione:

                                                                                                                                                  • No Proxy—The default option before you integrate a proxy. Nessun aggiornamento certificato richiesto.
                                                                                                                                                  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Nessun aggiornamento certificato richiesto.
                                                                                                                                                  • Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni:
                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Scegliere un'opzione in base ai supporti server proxy.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Disponibile per proxy HTTP o HTTPS.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario inserire anche nome utente e password.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.

                                                                                                                                                        Disponibile solo per i proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario inserire anche nome utente e password.

                                                                                                                                                  Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti.

                                                                                                                                                  Il nodo si riavvia tra pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

                                                                                                                                                  When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  From the menu on the left side of the screen, select Services.

                                                                                                                                                  3

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Set up.

                                                                                                                                                  The Register Hybrid Data Security Node page appears.
                                                                                                                                                  4

                                                                                                                                                  Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node.

                                                                                                                                                  We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"

                                                                                                                                                  6

                                                                                                                                                  In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                  This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM.

                                                                                                                                                  A message appears indicating you can register your node to the Webex.
                                                                                                                                                  7

                                                                                                                                                  Click Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Click Continue in the warning message.

                                                                                                                                                  After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
                                                                                                                                                  9

                                                                                                                                                  Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                  Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  10

                                                                                                                                                  Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

                                                                                                                                                   

                                                                                                                                                  At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.

                                                                                                                                                  5

                                                                                                                                                  Register the node.

                                                                                                                                                  1. In https://admin.webex.com, select Services from the menu on the left side of the screen.

                                                                                                                                                  2. In the Hybrid Services section, find the Hybrid Data Security card and click Resources.

                                                                                                                                                    The Hybrid Data Security Resources page appears.
                                                                                                                                                  3. Click Add Resource.

                                                                                                                                                  4. In the first field, select the name of your existing cluster.

                                                                                                                                                  5. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                    A message appears indicating you can register your node to the Webex cloud.
                                                                                                                                                  6. Click Go to Node.

                                                                                                                                                    After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node.
                                                                                                                                                  7. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                    Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  8. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Run a Trial and Move to Production (next chapter)
                                                                                                                                                  Eseguire una versione di prova e passare alla produzione

                                                                                                                                                  Flusso attività da prova a produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare l'oggetto del gruppo HdsTrialGroup .

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto di gruppo HdsTrialGroup per la sincronizzazione al cloud prima di poter avviare una prova. Per istruzioni, vedere la Guida alla distribuzione di Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase trial con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto di gruppo HdsTrialGroup per la sincronizzazione al cloud prima di poter avviare una prova per la propria organizzazione. Per istruzioni, vedere la Guida alla distribuzione di Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, HdsTrialGroup).

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.


                                                                                                                                                   

                                                                                                                                                  Se si disattiva la distribuzione di sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1. Per verificare se un utente stabilisce per primo un canale sicuro per KMS, filtrare kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come quella che segue (identificativi più brevi per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ricevuto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    Si dovrebbe trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ricevuto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ricevuto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorse KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ricevuto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato all'interno di Control Hub mostra se tutto funziona correttamente con la distribuzione di Hybrid Data Security. Per avvisi più proattivi, iscriviti per le notifiche e-mail. Verrai informato quando sono presenti allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni).

                                                                                                                                                  Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Una volta attivata una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere i membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud lo recupererà per conto dell'utente.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; è possibile visualizzare i membri del gruppo in Control Hub, ma non è possibile aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic su Salva.

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Quando si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova, è possibile passare alla produzione. Quando si passa alla produzione, tutti gli utenti nell'organizzazione utilizzeranno il dominio di sicurezza dei dati ibridi locale per le chiavi di crittografia e altri servizi di area di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattivi il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione).

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non procedere con la distribuzione di Hybrid Data Security, è possibile disattivare Hybrid Data Security, che termina la versione di prova e trasferisce gli utenti di prova ai servizi di sicurezza dei dati su cloud. Gli utenti dello studio perderanno l'accesso ai dati crittografati durante lo studio.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la prova.

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster, per garantire che tutti i nodi utilizzino sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile eseguire manualmente l'aggiornamento del cluster prima dell'ora di aggiornamento pianificata. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3:00 AM Daily Stati Uniti: America/Los Angeles. È anche possibile scegliere di posticipare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento.

                                                                                                                                                  Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:
                                                                                                                                                  • Modifica dei certificati x.509 a causa della scadenza o di altri motivi.


                                                                                                                                                     

                                                                                                                                                    La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Soft reset: le password vecchie e nuove funzionano per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino difficile: le password precedenti smettono di funzionare immediatamente.

                                                                                                                                                  Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    Proxy HTTP senza autenticazione

                                                                                                                                                    _AGENTE_HTTP_PROXY GLOBALE=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    _AGENTE_HTTPS_PROXY GLOBALE=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stabile

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stabile

                                                                                                                                                     

                                                                                                                                                    Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

                                                                                                                                                  2. Per accedere al registro dell'immagine Docker, inserire quanto segue:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Alla richiesta della password, immettere questo cancelletto:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scarica l'ultima immagine stabile per l'ambiente in uso:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stabile

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stabile

                                                                                                                                                     

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                    • In ambienti normali senza un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

                                                                                                                                                  6. Utilizzare un browser per eseguire la connessione all'host locale, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  7. Quando richiesto, inserisci le credenziali di accesso del cliente Control Hub, quindi fai clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per chiudere lo strumento di impostazione, digitare CTRL + C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo di sicurezza dei dati ibridi VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registrare il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattiva modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Panoramica (pagina predefinita).

                                                                                                                                                  Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su .

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibili e proxy .

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Controlla connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimozione di un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per impedire un ulteriore accesso ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovi il nodo:

                                                                                                                                                  1. Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse sicurezza dati ibridi.

                                                                                                                                                  3. Selezionare il cluster per visualizzarne il pannello Panoramica.

                                                                                                                                                  4. Fare clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fare clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM. (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina).

                                                                                                                                                  Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate , aggiungi la configurazione seguente o rimuovi la configurazione Modalità passiva per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                   Modalità passiva: "falso" 

                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. “KMS configurato in modalità passiva” non deve apparire nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati standby in modalità passiva seguendo la procedura descritta in Imposta centro dati standby per ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio ISO dopo configurazione HDS

                                                                                                                                                  La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.

                                                                                                                                                  Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Chiudere uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nella vCenter Server Appliance, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegli Modifica impostazioni > unità CD/DVD e deseleziona Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere per ciascun nodo HDS a sua volta.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • I titoli dei messaggi e dello spazio non vengono decrittografati per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e le fasi per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Controllare gli errori del database o i problemi della rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Verificare che il server del database sia disponibile e che le credenziali dell'account servizio corretto siano state utilizzate nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione del servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione ai servizi cloud.

                                                                                                                                                  Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password nel file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso alla rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi.

                                                                                                                                                  2

                                                                                                                                                  Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (tramite timeout o tramite disconnessione e back-in).

                                                                                                                                                  Uso di OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dalla CA, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -testo -nodo -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file di bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----START CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Certificato CA principale. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome amichevole kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nome kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password quando viene richiesto di crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le righe friendlyName: chiave privata kms.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: Attributi della sacca OK verificati da MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave:  Inserisci passphrase PEM: Verifica - Inserisci passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA-----  -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyNome: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il file hdsnode.p12 e la password impostata, in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico incasso metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  WebSocket non può connettersi attraverso il proxy Squid

                                                                                                                                                  I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste dalla sicurezza dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamari 4 e 5

                                                                                                                                                  Aggiungere la on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tutto il tunnel

                                                                                                                                                  3.5.27 di calamari

                                                                                                                                                  La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche apportate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker.

                                                                                                                                                  24 giugno 2021

                                                                                                                                                  Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12.

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale.

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Aggiornato Scarica file di installazione.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro.

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS.
                                                                                                                                                  4 febbraio 2020Aggiornati i requisiti del server proxy.
                                                                                                                                                  16 dicembre 2019Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Aggiornate di conseguenza le seguenti sezioni:


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunto SQL Server Standard ai requisiti del server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto.
                                                                                                                                                  20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex.

                                                                                                                                                  13 giugno 2019Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio su disco rigido locale per server da impostare quando si preparano gli host virtuali che diventano nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, in modo da riflettere la dimensione del disco creato dal file OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornata la creazione di un ISO di configurazione per gli host HDS con le istruzioni.

                                                                                                                                                  • URL di destinazione rimossi dalla tabella "Requisiti di connettività Internet per le VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (cluster di failover sempre attivi e gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati in Hybrid Data Security. Aggiunto contenuto relativo alla distribuzione con SQL Server.


                                                                                                                                                     

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  giovedì 19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata per riflettere il rebranding di Cisco Spark:

                                                                                                                                                  • La sicurezza dei dati ibridi Cisco Spark è ora Sicurezza dei dati ibridi.

                                                                                                                                                  • L'app Cisco Spark ora è l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella dei requisiti di certificato X.509, è specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Chiarificazione della sincronizzazione delle rubriche di HdsTrialGroup.

                                                                                                                                                  • Istruzioni fisse per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La chiave di volta di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). KMS è responsabile della creazione e della gestione delle chiavi crittografiche utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. Hybrid Data Security sposta il KMS e altre funzioni correlate alla sicurezza sul tuo centro dati aziendale, in modo che nessuno, tranne te, mantenga le chiavi del tuo contenuto crittografato.

                                                                                                                                                  Architettura dell'area di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Campi di separazione (senza sicurezza dei dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

                                                                                                                                                  La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:

                                                                                                                                                  • Gestire il backup e il ripristino del database e della configurazione ISO.

                                                                                                                                                  • Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.


                                                                                                                                                   

                                                                                                                                                  Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS.

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:

                                                                                                                                                  • Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.

                                                                                                                                                  • Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.

                                                                                                                                                  Modello di distribuzione di sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova della sicurezza dei dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.

                                                                                                                                                  Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati standby per ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Failover manuale su centro dati standby

                                                                                                                                                  I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Imposta centro dati standby per ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).

                                                                                                                                                  • Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del data center principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare i registri di sistema per verificare che i nodi siano in modalità passiva. È necessario essere in grado di visualizzare il messaggio "KMS configurato in modalità passiva" nei registri di sistema.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo la configurazione passiveMode nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.

                                                                                                                                                  • Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP: visualizza e controlla tutte le richieste inviate dal client.

                                                                                                                                                      • HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede di immettere il nome utente e la password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti della licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti desktop docker

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per maggiori dettagli, vedi il post sul blog Docker, "Docker sta aggiornando ed estendendo le sottoscrizioni ai nostri prodotti".

                                                                                                                                                  Requisiti di certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti di certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio nome comune (CN) che identifica la distribuzione di Hybrid Data Security

                                                                                                                                                  • Non è un certificato jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere un * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Usa il nome amichevole di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti organizzatore virtuale

                                                                                                                                                  Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:

                                                                                                                                                  • Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.


                                                                                                                                                     

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server

                                                                                                                                                  Requisiti server database


                                                                                                                                                   

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver Postgres JDBC 42.2.5

                                                                                                                                                  Driver JDBC server SQL 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.

                                                                                                                                                    Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocol

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi di sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella degli URL aggiuntivi per i servizi ibridi Webex dei requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comune

                                                                                                                                                  Americhe

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti server proxy

                                                                                                                                                  • Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione del digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni delle socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completamento dei prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. (È necessario creare questo database; non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.)

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • nome host o indirizzo IP (host) e porta

                                                                                                                                                    • nome del database (dbname) per l'archiviazione chiave

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di memorizzazione delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.


                                                                                                                                                   

                                                                                                                                                  Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, la mancata gestione di una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080.

                                                                                                                                                  Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker.

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato HdsTrialGroup e aggiungere gli utenti pilota. Il gruppo di prova può contenere fino a 250 utenti. Il HdsTrialGroup oggetto deve essere sincronizzato con il cloud prima di poter avviare una versione di prova per la propria organizzazione. Per sincronizzare un oggetto di gruppo, selezionarlo in Connettore directory Configurazione > menu Selezione oggetto. (Per istruzioni dettagliate, vedere la Guida alla distribuzione per Connettore directory Cisco.)


                                                                                                                                                   

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione di sicurezza dei dati ibridi, tutti gli utenti perderanno l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Flusso attività distribuzione sicurezza dati ibridi

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente.

                                                                                                                                                  2

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  4

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA.

                                                                                                                                                  5

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.

                                                                                                                                                  7

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Completare l'impostazione del cluster.

                                                                                                                                                  9

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)

                                                                                                                                                  Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  In questa attività, è possibile scaricare un file OVA sulla macchina (non sui server configurati come nodi di sicurezza dei dati ibridi). Utilizzare questo file in seguito nel processo di installazione.
                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi fare clic su Servizi.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.

                                                                                                                                                  Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.


                                                                                                                                                   

                                                                                                                                                  È inoltre possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni. Nella scheda Sicurezza dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dati ibridi nella sezione Guida .


                                                                                                                                                   

                                                                                                                                                  Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti di sicurezza dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti.

                                                                                                                                                  Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
                                                                                                                                                  4

                                                                                                                                                  Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida.

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su quella macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la tua organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    Proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:

                                                                                                                                                    • Credenziali del database

                                                                                                                                                    • Aggiornamenti dei certificati

                                                                                                                                                    • Modifiche ai criteri di autorizzazione

                                                                                                                                                  • Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

                                                                                                                                                  1

                                                                                                                                                  Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Questa operazione consente di cancellare le immagini degli strumenti di impostazione HDS precedenti. Se non sono presenti immagini precedenti, viene restituito un errore che è possibile ignorare.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Quando richiesto dalla password, immettere questo hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scarica l'ultima immagine stabile per l'ambiente:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Al termine dell'estrazione, immettere il comando appropriato per l'ambiente:

                                                                                                                                                  • In ambienti normali senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti normali con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Quando il contenitore è in funzione, viene visualizzato "Express server listening on port 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  Utilizzare un browser Web per passare all'host locale, http://127.0.0.1:8080 e immettere il nome utente di amministrazione cliente per Control Hub al prompt.

                                                                                                                                                  Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard.

                                                                                                                                                  7

                                                                                                                                                  Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Importazione ISO sono disponibili le seguenti opzioni:

                                                                                                                                                  • No: se stai creando il tuo primo nodo HDS, non disponi di un file ISO da caricare.
                                                                                                                                                  • : se sono già stati creati nodi HDS, selezionare il file ISO nel browser e caricarlo.
                                                                                                                                                  10

                                                                                                                                                  Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.

                                                                                                                                                  • Se non è mai stato caricato un certificato prima, caricare il certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  • Se il certificato è OK, fare clic su Continua.
                                                                                                                                                  • Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continua a utilizzare la catena di certificati HDS e la chiave privata della precedente ISO?. Caricare un nuovo certificato X.509, immettere la password e fare clic su Continua.
                                                                                                                                                  11

                                                                                                                                                  Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave:

                                                                                                                                                  1. Selezionare il tipo di database (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Se si sceglie Microsoft SQL Server, viene visualizzato un campo Tipo di autenticazione.

                                                                                                                                                  2. (solo Microsoft SQL Server) Selezionare il tipo di autenticazione:

                                                                                                                                                    • Autenticazione di base: È necessario un nome di account SQL Server locale nel campo Nome utente.

                                                                                                                                                    • Autenticazione di Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente.

                                                                                                                                                  3. Immettere l'indirizzo del server del database nel modulo <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

                                                                                                                                                    Se si utilizza l'autenticazione Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433

                                                                                                                                                  4. Immettere il nome del database.

                                                                                                                                                  5. Immettere il nome utente e la password di un utente con tutti i privilegi nel database di storage dei tasti.

                                                                                                                                                  12

                                                                                                                                                  Selezionare una modalità di connessione al database TLS:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Preferisci TLS(opzione predefinita)

                                                                                                                                                  I nodi HDS non richiedono la connessione TLS al server del database. Se si abilita TLS sul server del database, i nodi tentano una connessione crittografata.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server del database può negoziare TLS.

                                                                                                                                                  Richiedere TLS e verificare il firmatario del certificato


                                                                                                                                                   

                                                                                                                                                  Questa modalità non è applicabile ai database del server SQL.

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database può negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il controllo del certificato radice del database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Richiedere TLS e verificare il firmatario del certificato e il nome host

                                                                                                                                                  • I nodi HDS si connettono solo se il server del database può negoziare TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel certificato principale del database. Se non corrispondono, il nodo interrompe la connessione.

                                                                                                                                                  • I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host database e porta. I nomi devono corrispondere esattamente oppure il nodo interrompe la connessione.

                                                                                                                                                  Utilizzare il controllo del certificato radice del database sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il marchio del certificato e il nome host, se applicabile. In caso di errore del test, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente.

                                                                                                                                                  13

                                                                                                                                                  Nella pagina Registri di sistema, configurare il server Syslogd:

                                                                                                                                                  1. Immettere l'URL del server syslog.

                                                                                                                                                    Se il server non è risolvibile con DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indica l'accesso all'host Syslogd 10.92.43.23 sulla porta UDP 514.
                                                                                                                                                  2. Se si imposta il server per utilizzare la crittografia TLS, verificare che Il server syslog sia configurato per la crittografia SSL?.

                                                                                                                                                    Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.

                                                                                                                                                  3. Dal menu a discesa Scegli terminazione record syslog, scegli l'impostazione appropriata per il tuo file ISO: Scegli o Newline viene utilizzato per Graylog e Rsyslog TCP

                                                                                                                                                    • Byte nullo -- \x00

                                                                                                                                                    • Newline -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Fare clic su Continua nella schermata Reimposta password account di servizio.

                                                                                                                                                  Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti.

                                                                                                                                                  16

                                                                                                                                                  Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

                                                                                                                                                  17

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale.

                                                                                                                                                  Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  18

                                                                                                                                                  Per spegnere lo strumento Impostazione, digitare CTRL+C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi.

                                                                                                                                                  Installazione del file OVA organizzatore HDS

                                                                                                                                                  Utilizzare questa procedura per creare una macchina virtuale dal file OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selezionare File > Distribuisci modello OVF.

                                                                                                                                                  3

                                                                                                                                                  Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo.

                                                                                                                                                  4

                                                                                                                                                  Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo.

                                                                                                                                                  5

                                                                                                                                                  Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo.

                                                                                                                                                  Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.

                                                                                                                                                  6

                                                                                                                                                  Verificare i dettagli del modello, quindi fare clic su Avanti.

                                                                                                                                                  7

                                                                                                                                                  Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo.

                                                                                                                                                  8

                                                                                                                                                  Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM.

                                                                                                                                                  9

                                                                                                                                                  Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.

                                                                                                                                                  10

                                                                                                                                                  Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:

                                                                                                                                                  • Nome host: inserisci il nome host FQDN (nome host e dominio) o un nome host di singola parola per il nodo.

                                                                                                                                                     
                                                                                                                                                    • Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                    • Per garantire una registrazione corretta nel cloud, utilizza solo caratteri minuscoli nel nome host o FQDN impostato per il nodo. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • La lunghezza totale del nome di dominio completo non deve superare 64 caratteri.

                                                                                                                                                  • Indirizzo IP: immettere l'indirizzo IP per l'interfaccia interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  • Maschera: immettere l'indirizzo della subnet mask in notazione dot decimale. ad esempio, 255.255.255.0.
                                                                                                                                                  • Gateway: immettere l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete.
                                                                                                                                                  • Server DNS: immettere un elenco separato da virgole di server DNS, che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (Sono consentite fino a 4 voci DNS).
                                                                                                                                                  • Server NTP: inserire il server NTP della propria organizzazione o un altro server NTP esterno che può essere utilizzato nella propria organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP.
                                                                                                                                                  • Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi.

                                                                                                                                                  Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.


                                                                                                                                                   

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  11

                                                                                                                                                  Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione.

                                                                                                                                                  Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere.

                                                                                                                                                  Impostazione della sicurezza dei dati ibridi VM

                                                                                                                                                  Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  1

                                                                                                                                                  Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console.

                                                                                                                                                  La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
                                                                                                                                                  2

                                                                                                                                                  Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite:

                                                                                                                                                  1. Login: admin

                                                                                                                                                  2. Password: cisco

                                                                                                                                                  Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.

                                                                                                                                                  3

                                                                                                                                                  Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione.

                                                                                                                                                  4

                                                                                                                                                  Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  5

                                                                                                                                                  (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete.

                                                                                                                                                  Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto.

                                                                                                                                                  Caricamento e montaggio della configurazione HDS ISO

                                                                                                                                                  Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

                                                                                                                                                  1

                                                                                                                                                  Caricare il file ISO dal computer:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.

                                                                                                                                                  2. Nell'elenco hardware della scheda Configurazione, fare clic su Storage.

                                                                                                                                                  3. Nell'elenco dei datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.

                                                                                                                                                  4. Fare clic sull’icona Carica file, quindi fare clic su Carica file.

                                                                                                                                                  5. Individuare la posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.

                                                                                                                                                  6. Fare clic su per accettare l'avviso di caricamento/download e chiudere la finestra di dialogo del datastore.

                                                                                                                                                  2

                                                                                                                                                  Montare il file ISO:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Fare clic su OK per accettare l'avviso delle opzioni di modifica limitate.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1, selezionare l'opzione per il montaggio da un file ISO datastore e passare alla posizione in cui è stato caricato il file ISO di configurazione.

                                                                                                                                                  4. Controllare Connesso e Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e riavviare la macchina virtuale.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserisci l'URL di impostazione del nodo HDS https://[HDS Node IP or FQDN]/setup in un browser Web, immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Vai su Trust Store & Proxy, quindi scegli un'opzione:

                                                                                                                                                  • Nessun proxy: opzione predefinita prima dell'integrazione di un proxy. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
                                                                                                                                                  • Proxy con ispezione trasparente: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica alla configurazione HTTPS è necessaria nella distribuzione di Hybrid Data Security; tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, indicare al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Una volta scelta questa opzione, è necessario immettere le seguenti informazioni:
                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: selezionare http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base a quanto supportato dal server proxy.

                                                                                                                                                    4. Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta alcuna ulteriore autenticazione.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per i proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.

                                                                                                                                                        Disponibile solo per proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario immettere anche il nome utente e la password.

                                                                                                                                                  Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti.

                                                                                                                                                  Il nodo si riavvia entro pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Dopo il riavvio del nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Registrazione del primo nodo nel cluster

                                                                                                                                                  Questa attività prende il nodo generico creato in Imposta VM di sicurezza dei dati ibridi, registra il nodo con il cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dal menu sul lato sinistro della schermata, selezionare Servizi.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta.

                                                                                                                                                  Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
                                                                                                                                                  4

                                                                                                                                                  Seleziona per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                  Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
                                                                                                                                                  7

                                                                                                                                                  Fare clic su Vai a nodo.

                                                                                                                                                  8

                                                                                                                                                  Fare clic su Continua nel messaggio di avviso.

                                                                                                                                                  Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
                                                                                                                                                  9

                                                                                                                                                  Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                  L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.

                                                                                                                                                  Creazione e registrazione di altri nodi

                                                                                                                                                  Per aggiungere altri nodi al cluster, è sufficiente creare ulteriori VM e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di avere almeno 3 nodi.

                                                                                                                                                   

                                                                                                                                                  In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.

                                                                                                                                                  • Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS.

                                                                                                                                                  2

                                                                                                                                                  Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM.

                                                                                                                                                  3

                                                                                                                                                  Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registrare il nodo.

                                                                                                                                                  1. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2. Nella sezione Hybrid Services (Servizi ibridi), trovare la scheda Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Resources (Risorse).

                                                                                                                                                    Viene visualizzata la pagina Risorse sicurezza dati ibridi.
                                                                                                                                                  3. Fare clic su Aggiungi risorsa.

                                                                                                                                                  4. Nel primo campo, selezionare il nome del cluster esistente.

                                                                                                                                                  5. Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti.

                                                                                                                                                    Viene visualizzato un messaggio che indica che è possibile registrare il nodo sul cloud Webex.
                                                                                                                                                  6. Fare clic su Vai a nodo.

                                                                                                                                                    Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al tuo nodo.
                                                                                                                                                  7. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua.

                                                                                                                                                    L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  8. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire una versione di prova e passare alla produzione (capitolo successivo)
                                                                                                                                                  Eseguire una versione di prova e passare alla produzione

                                                                                                                                                  Flusso attività da prova a produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare il HdsTrialGroup oggetto di gruppo.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di avviare una versione di prova. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase trial con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, HdsTrialGroup.)

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione di sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.


                                                                                                                                                   

                                                                                                                                                  Se si disattiva la distribuzione di sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security.

                                                                                                                                                  1. Per verificare se un utente stabilisce prima un canale sicuro per il KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come quella che segue (identificativi più brevi per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorse KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    È necessario trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio della salute della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato all'interno di Control Hub mostra se tutto funziona correttamente con la distribuzione di Hybrid Data Security. Per avvisi più proattivi, iscriviti per le notifiche e-mail. Verrai informato quando sono presenti allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni).

                                                                                                                                                  Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Una volta attivata una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere i membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. quindi fare clic su Save (Salva).

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Quando si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova, è possibile passare alla produzione. Quando si passa alla produzione, tutti gli utenti nell'organizzazione utilizzeranno il dominio di sicurezza dei dati ibridi locale per le chiavi di crittografia e altri servizi di area di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattivi il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione).

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non procedere con la distribuzione di Hybrid Data Security, è possibile disattivare Hybrid Data Security, che termina la versione di prova e trasferisce gli utenti di prova ai servizi di sicurezza dei dati su cloud. Gli utenti dello studio perderanno l'accesso ai dati crittografati durante lo studio.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fai clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la prova.

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Gestione della distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster, per garantire che tutti i nodi utilizzino sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile eseguire manualmente l'aggiornamento del cluster prima dell'ora di aggiornamento pianificata. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3:00 AM Daily Stati Uniti: America/Los Angeles. È anche possibile scegliere di posticipare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento.

                                                                                                                                                  Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  Occasionalmente, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:
                                                                                                                                                  • Modifica dei certificati x.509 per scadenza o altri motivi.


                                                                                                                                                     

                                                                                                                                                    Non è supportata la modifica del nome del dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    La migrazione dei dati da PostgreSQL a Microsoft SQL Server non è supportata o viceversa. Per cambiare l'ambiente del database, avviare una nuova distribuzione di Hybrid Data Security.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Inoltre, per motivi di sicurezza, Hybrid Data Security utilizza password degli account di servizio che hanno una durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, distribuirle a ciascuno dei nodi HDS nel file di configurazione ISO. Quando le password della propria organizzazione sono prossime alla scadenza, si riceve un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Usa l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Soft reset: le password vecchie e nuove funzionano per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino difficile: le password precedenti smettono di funzionare immediatamente.

                                                                                                                                                  Se le password scadono senza reimpostazione, questo ha un impatto sul servizio HDS, che richiede un resettaggio immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su quella macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la tua organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    Proxy HTTP senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario disporre dell'ISO quando si apportano modifiche alla configurazione, incluse le credenziali del database, gli aggiornamenti dei certificati o le modifiche ai criteri di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Questa operazione consente di cancellare le immagini degli strumenti di impostazione HDS precedenti. Se non sono presenti immagini precedenti, viene restituito un errore che è possibile ignorare.

                                                                                                                                                  2. Per accedere al registro immagini Docker, immettere quanto segue:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Quando richiesto dalla password, immettere questo hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scarica l'ultima immagine stabile per l'ambiente:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono delle schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine dell'estrazione, immettere il comando appropriato per l'ambiente:

                                                                                                                                                    • In ambienti normali senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Quando il contenitore è in funzione, viene visualizzato "Express server listening on port 8080".

                                                                                                                                                  6. Utilizzare un browser per connettersi all'host locale, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

                                                                                                                                                  7. Quando richiesto, inserisci le credenziali di accesso del cliente Control Hub, quindi fai clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per spegnere lo strumento Impostazione, digitare CTRL+C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo di sicurezza dei dati ibridi VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registra il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti che eseguono il file di configurazione precedente, montare il file ISO. Eseguire la seguente procedura su ciascun nodo in rotazione, aggiornando ciascun nodo prima di disattivare il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic CD/DVD Drive 1, selezionare l'opzione da montare da un file ISO e passare alla posizione in cui è stato scaricato il nuovo file ISO di configurazione.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattivazione della modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Overview (pagina predefinita).

                                                                                                                                                  Se abilitata, la risoluzione DNS esterna bloccata è impostata su Yes.

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibilità e proxy.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Verifica connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test di connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimozione di un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per impedire un ulteriore accesso ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovi il nodo:

                                                                                                                                                  1. Accedi a Control Hub, quindi seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse sicurezza dati ibridi.

                                                                                                                                                  3. Selezionare il cluster per visualizzarne il pannello Panoramica.

                                                                                                                                                  4. Fare clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fare clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina).

                                                                                                                                                  Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il passiveMode configurazione per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni.

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Accertarsi che Connected e Connect all'accensione siano controllati in modo che le modifiche di configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere la procedura per ogni nodo nel centro dati standby.


                                                                                                                                                   

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. “KMS configurato in modalità passiva” non deve apparire nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati standby in modalità passiva seguendo la procedura descritta in Imposta centro dati standby per ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio ISO dopo configurazione HDS

                                                                                                                                                  La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.

                                                                                                                                                  Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Chiudere uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nella vCenter Server Appliance, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegli Modifica impostazioni > unità CD/DVD e deseleziona Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere per ciascun nodo HDS a sua volta.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • I titoli dei messaggi e dello spazio non vengono decrittografati per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e le fasi per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Verificare la presenza di errori nel database o problemi di rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione del servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione ai servizi cloud.

                                                                                                                                                  Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password nel file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso alla rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi.

                                                                                                                                                  2

                                                                                                                                                  Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).

                                                                                                                                                  Uso di OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file di bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome amichevole kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password quando viene richiesto di crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee friendlyName: kms-private-key.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12 file e la password impostata, in Crea una configurazione ISO per gli host HDS.


                                                                                                                                                   

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico incasso metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  Websocket non può connettersi tramite proxy Squid

                                                                                                                                                  I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamaro 4 e 5

                                                                                                                                                  Aggiungi il on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamaro 3.5.27

                                                                                                                                                  Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Prefazione

                                                                                                                                                  Informazioni nuove e modificate

                                                                                                                                                  Data

                                                                                                                                                  Modifiche effettuate

                                                                                                                                                  20 ottobre 2023

                                                                                                                                                  7 agosto 2023

                                                                                                                                                  23 maggio 2023

                                                                                                                                                  6 dicembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  giovedì 13 ottobre 2021

                                                                                                                                                  Docker Desktop deve eseguire un programma di impostazione prima di poter installare i nodi HDS. Vedere Requisiti del desktop Docker.

                                                                                                                                                  Giovedì 24 giugno 2021

                                                                                                                                                  Tieni presente che puoi riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere uso di OpenSSL per generare un file PKCS12 .

                                                                                                                                                  30 aprile 2021

                                                                                                                                                  Modificato il requisito VM per lo spazio su disco rigido locale a 30 GB. Per dettagli, vedi Requisiti dell'organizzatore virtuale .

                                                                                                                                                  24 febbraio 2021

                                                                                                                                                  Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedi Creazione di una configurazione ISO per gli host HDS .

                                                                                                                                                  2 febbraio 2021

                                                                                                                                                  HDS ora può essere eseguito senza un file ISO montato. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

                                                                                                                                                  11 gennaio 2021

                                                                                                                                                  Sono state aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS.

                                                                                                                                                  13 ottobre 2020

                                                                                                                                                  Scarica file di installazione aggiornati.

                                                                                                                                                  8 ottobre 2020

                                                                                                                                                  Aggiornate le opzioni Crea una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP.

                                                                                                                                                  14 agosto 2020

                                                                                                                                                  Aggiornate le opzioni Crea una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con le modifiche apportate al processo di accesso.

                                                                                                                                                  5 agosto 2020

                                                                                                                                                  Aggiornamento di Test della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi di registro.

                                                                                                                                                  Requisiti dell'organizzatore virtuale aggiornati per rimuovere il numero massimo di organizzatori.

                                                                                                                                                  16 giugno 2020

                                                                                                                                                  Aggiornata l'opzione Rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub.

                                                                                                                                                  4 giugno 2020

                                                                                                                                                  Aggiornamento dell'opzione Creazione di una configurazione ISO per gli organizzatori HDS per le modifiche alle impostazioni avanzate che è possibile impostare.

                                                                                                                                                  29 maggio 2020

                                                                                                                                                  Aggiornata l'opzione Crea una configurazione ISO per gli host HDS in modo da mostrare che è possibile utilizzare il protocollo TLS anche con i database SQL Server, le modifiche dell'interfaccia utente e altri chiarimenti.

                                                                                                                                                  5 maggio 2020

                                                                                                                                                  Aggiornamento dei Requisiti dell'organizzatore virtuale per visualizzare il nuovo requisito di ESXi 6.5.

                                                                                                                                                  21 aprile 2020

                                                                                                                                                  Requisiti di connettività esterna aggiornati con i nuovi organizzatori CI America.

                                                                                                                                                  1° aprile 2020

                                                                                                                                                  Aggiornamento dei Requisiti di connettività esterna con informazioni sugli host CI regionali.

                                                                                                                                                  20 febbraio 2020Aggiornamento di Crea una configurazione ISO per gli organizzatori HDS con le informazioni sulla nuova schermata Impostazioni avanzate opzionale nello Strumento di impostazione HDS.
                                                                                                                                                  4 febbraio 2020Requisiti server proxy aggiornati.
                                                                                                                                                  16 dicembre 2019È stato chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Sono state aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni:

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente.

                                                                                                                                                  Sono state aggiornate le seguenti sezioni di conseguenza:

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  6 settembre 2019

                                                                                                                                                  Aggiunta dello standard SQL Server a Requisiti server database.

                                                                                                                                                  È il 29 agosto 2019Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con una guida sulla configurazione dei proxy Squid per ignorare il traffico WebSocket per il corretto funzionamento.
                                                                                                                                                  È il 20 agosto 2019

                                                                                                                                                  Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex.

                                                                                                                                                  Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida Supporto proxy per la sicurezza dei dati ibridi e mesh video Webex .

                                                                                                                                                  13 giugno 2019È stato aggiornato il Flusso attività prova a produzione con un promemoria per sincronizzare l'oggetto del gruppo HdsTrialGroup prima di avviare una prova se la propria organizzazione utilizza la sincronizzazione delle rubriche.
                                                                                                                                                  6 marzo 2019
                                                                                                                                                  28 febbraio 2019
                                                                                                                                                  • È stata corretta la quantità di spazio sul disco rigido locale per server che occorre mettere da parte quando si preparano gli host virtuali che diventano i nodi di sicurezza dei dati ibridi, da 50 GB a 20 GB, per riflettere la dimensione del disco creato dall'OVA.

                                                                                                                                                  26 febbraio 2019
                                                                                                                                                  • I nodi Hybrid Data Security ora supportano connessioni crittografate con server di database PostgreSQL e connessioni di registrazione crittografate a un server syslog con funzionalità TLS. Aggiornamento di Creazione di una configurazione ISO per gli host HDS con le istruzioni.

                                                                                                                                                  • Rimossi URL di destinazione dalla tabella "Requisiti di connettività Internet per VM dei nodi di sicurezza dei dati ibridi". La tabella ora si riferisce all'elenco mantenuto nella tabella "URL aggiuntivi per i servizi ibridi dei team Webex" dei Requisiti di rete per i servizi dei team Webex.

                                                                                                                                                  24 gennaio 2019

                                                                                                                                                  • Hybrid Data Security ora supporta Microsoft SQL Server come database. SQL Server Always On (Cluster di failover sempre attivi e Gruppi di disponibilità sempre attivi) è supportato dai driver JDBC utilizzati nella sicurezza dei dati ibridi. Aggiunto contenuto relativo alla distribuzione con SQL Server.

                                                                                                                                                    Il supporto di Microsoft SQL Server è destinato alle nuove distribuzioni di Hybrid Data Security. Attualmente non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server in una distribuzione esistente.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 ottobre 2018

                                                                                                                                                  31 luglio 2018

                                                                                                                                                  21 maggio 2018

                                                                                                                                                  Terminologia modificata in modo da riflettere il rebranding di Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid Data Security è ora Hybrid Data Security.

                                                                                                                                                  • L'app Cisco Spark è ora l'app Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud è ora il cloud Webex.

                                                                                                                                                  11 aprile 2018
                                                                                                                                                  22 febbraio 2018
                                                                                                                                                  15 febbraio 2018
                                                                                                                                                  • Nella tabella Requisiti certificati X.509 , è stato specificato che il certificato non può essere un certificato con caratteri jolly e che KMS utilizza il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  18 gennaio 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Sincronizzazione delle directory di HdsTrialGroup chiarita.

                                                                                                                                                  • Corrette istruzioni per il caricamento del file di configurazione ISO per il montaggio sui nodi VM.

                                                                                                                                                  18 agosto 2017

                                                                                                                                                  Prima pubblicazione

                                                                                                                                                  Introduzione alla sicurezza dei dati ibridi

                                                                                                                                                  Panoramica sulla sicurezza dei dati ibridi

                                                                                                                                                  Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

                                                                                                                                                  Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

                                                                                                                                                  Architettura dell'area di autenticazione di sicurezza

                                                                                                                                                  L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

                                                                                                                                                  Domini di separazione (senza sicurezza dati ibridi)

                                                                                                                                                  Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

                                                                                                                                                  In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

                                                                                                                                                  1. Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.

                                                                                                                                                  2. Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.

                                                                                                                                                  3. Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.

                                                                                                                                                  4. Il messaggio crittografato viene memorizzato nell'area di storage.

                                                                                                                                                  Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

                                                                                                                                                  Collaborazione con altre organizzazioni

                                                                                                                                                  Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

                                                                                                                                                  Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per dettagli sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  Aspettative per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Processo di impostazione di alto livello

                                                                                                                                                  Questo documento descrive l'impostazione e la gestione di una distribuzione della sicurezza dei dati ibridi:

                                                                                                                                                  • Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione converte per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

                                                                                                                                                    Le fasi di installazione, prova e produzione sono descritte in dettaglio nei tre capitoli successivi.

                                                                                                                                                  • Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati su e-mail in Control Hub.

                                                                                                                                                  • Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

                                                                                                                                                  Modello di distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

                                                                                                                                                  Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

                                                                                                                                                  Modello di distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

                                                                                                                                                  Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

                                                                                                                                                  I nodi diventano attivi quando vengono registrati in Control Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

                                                                                                                                                  È supportato solo un singolo cluster per organizzazione.

                                                                                                                                                  Modalità di prova sicurezza dati ibridi

                                                                                                                                                  Dopo aver impostato una distribuzione della sicurezza dei dati ibridi, provare questa opzione con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il tuo dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di autenticazione di sicurezza. Gli altri utenti continuano a utilizzare l'area di autenticazione della sicurezza cloud.

                                                                                                                                                  Se si decide di non continuare la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Verrà visualizzato "Questo messaggio non può essere decrittografato" nell'app Webex.

                                                                                                                                                  Se si è soddisfatti che la distribuzione funzioni bene per gli utenti della versione di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, trasferire la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la versione di prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il gruppo di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti mantengono l'accesso ai dati in questo momento dipende se sono stati mantenuti correttamente i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.

                                                                                                                                                  Centro dati di standby per il ripristino di emergenza

                                                                                                                                                  Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

                                                                                                                                                  Prima del failover, il centro dati A dispone di nodi HDS attivi e del database PostgreSQL o Microsoft SQL Server primario, mentre B dispone di una copia del file ISO con configurazioni aggiuntive, VM registrate nell'organizzazione e un database standby. Dopo il failover, il centro dati B dispone di nodi HDS attivi e del database principale, mentre A dispone di VM non registrate e di una copia del file ISO e il database è in modalità standby.
                                                                                                                                                  Failover manuale su centro dati Standby

                                                                                                                                                  I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con ulteriori configurazioni che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiscano il traffico. Di conseguenza, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

                                                                                                                                                  Impostazione del centro dati di standby per il ripristino di emergenza

                                                                                                                                                  Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  Il file ISO deve essere una copia del file ISO originale del centro dati principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate , aggiungere la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà il traffico.

                                                                                                                                                   Modalità passiva: 'vero' 

                                                                                                                                                  4

                                                                                                                                                  Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Edit Settings (Modifica impostazioni).

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore.

                                                                                                                                                  Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere il processo per ogni nodo nel centro dati di standby.

                                                                                                                                                  Controllare il syslogs per verificare che i nodi siano in modalità passiva. Dovrebbe essere possibile visualizzare il messaggio "KMS configurato in modalità passiva" nei syslogs.

                                                                                                                                                  Dopo aver configurato passiveMode nel file ISO e averlo salvato, è possibile creare un'altra copia del file ISO senza la configurazione passiveMode e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode configurata può aiutare in un processo di failover rapido durante il ripristino di emergenza. Vedere Ripristino di emergenza tramite centro dati Standby per la procedura di failover dettagliata.

                                                                                                                                                  Supporto proxy

                                                                                                                                                  La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

                                                                                                                                                  I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

                                                                                                                                                  • Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.

                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.

                                                                                                                                                  • Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:

                                                                                                                                                      • HTTP — Visualizza e controlla tutte le richieste che il client invia.

                                                                                                                                                      • HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.

                                                                                                                                                    4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta un'ulteriore autenticazione.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

                                                                                                                                                        Richiede l'inserimento del nome utente e della password su ciascun nodo.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.

                                                                                                                                                        Disponibile solo se si seleziona HTTPS come protocollo proxy.

                                                                                                                                                        Richiede l'inserimento del nome utente e della password su ciascun nodo.

                                                                                                                                                  Esempio di nodi e proxy di sicurezza dei dati ibridi

                                                                                                                                                  Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  Requisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Requisiti licenza Cisco Webex

                                                                                                                                                  Per distribuire la sicurezza dei dati ibridi:

                                                                                                                                                  Requisiti Docker Desktop

                                                                                                                                                  Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

                                                                                                                                                  Requisiti del certificato X.509

                                                                                                                                                  La catena di certificati deve soddisfare i seguenti requisiti:

                                                                                                                                                  Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Requisito

                                                                                                                                                  Dettagli

                                                                                                                                                  • Firmato da un'autorità di certificazione attendibile (CA)

                                                                                                                                                  Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi

                                                                                                                                                  • Non è un certificato con caratteri jolly

                                                                                                                                                  Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, hds.company.com.

                                                                                                                                                  Il CN non deve contenere * (carattere jolly).

                                                                                                                                                  Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN.

                                                                                                                                                  Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata. Scegli un dominio che può essere applicato a entrambe le distribuzioni di prova e di produzione.

                                                                                                                                                  • Firma non SHA1

                                                                                                                                                  Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.

                                                                                                                                                  • Formattato come file PKCS #12 protetto da password

                                                                                                                                                  • Utilizzare il nome descrittivo di kms-private-key per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.

                                                                                                                                                  È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato.

                                                                                                                                                  Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

                                                                                                                                                  Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

                                                                                                                                                  Requisiti dell'host virtuale

                                                                                                                                                  Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

                                                                                                                                                  • Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro

                                                                                                                                                  • VMware ESXi 6.5 (o versione successiva) è installato e in esecuzione.

                                                                                                                                                    È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.

                                                                                                                                                  • Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

                                                                                                                                                  Requisiti del server di database

                                                                                                                                                  Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

                                                                                                                                                  Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

                                                                                                                                                  Tabella 2. Requisiti del server di database per tipo di database

                                                                                                                                                  SQL Postgre

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, installato e in esecuzione.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato.

                                                                                                                                                    SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.

                                                                                                                                                  Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

                                                                                                                                                  Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

                                                                                                                                                  SQL Postgre

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver JDBC postgres 42.2.5

                                                                                                                                                  Driver JDBC di SQL Server 4.6

                                                                                                                                                  Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

                                                                                                                                                  Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

                                                                                                                                                  Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

                                                                                                                                                  • I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.

                                                                                                                                                  • L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.

                                                                                                                                                  • I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).

                                                                                                                                                  • È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

                                                                                                                                                    Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

                                                                                                                                                  Requisiti di connettività esterna

                                                                                                                                                  Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

                                                                                                                                                  Applicazione

                                                                                                                                                  Protocollo

                                                                                                                                                  Porta

                                                                                                                                                  Direzione dall'app

                                                                                                                                                  Destinazione

                                                                                                                                                  Nodi sicurezza dati ibridi

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS e WSS in uscita

                                                                                                                                                  • Server Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex

                                                                                                                                                  Strumento di impostazione HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS in uscita

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tutti gli organizzatori Common Identity

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

                                                                                                                                                  Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

                                                                                                                                                  Regione

                                                                                                                                                  URL host identità comuni

                                                                                                                                                  America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unione Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisiti del server proxy

                                                                                                                                                  • Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

                                                                                                                                                    • Nessuna autenticazione con HTTP o HTTPS

                                                                                                                                                    • Autenticazione di base con HTTP o HTTPS

                                                                                                                                                    • Autenticazione digest solo con HTTPS

                                                                                                                                                  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.

                                                                                                                                                  • La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.

                                                                                                                                                  • I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

                                                                                                                                                  Completare i prerequisiti per la sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Accertarsi che la propria organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore completo dell'organizzazione. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo.

                                                                                                                                                  2

                                                                                                                                                  Scegliere un nome di dominio per la distribuzione HDS (ad esempio, hds.company.com) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.

                                                                                                                                                  3

                                                                                                                                                  Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.

                                                                                                                                                  4

                                                                                                                                                  Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali.

                                                                                                                                                  1. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database).

                                                                                                                                                  2. Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database:

                                                                                                                                                    • il nome host o l'indirizzo IP (host) e la porta

                                                                                                                                                    • il nome del database (dbname) per lo storage delle chiavi

                                                                                                                                                    • nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi

                                                                                                                                                  5

                                                                                                                                                  Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto.

                                                                                                                                                  I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.

                                                                                                                                                  8

                                                                                                                                                  Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.

                                                                                                                                                  9

                                                                                                                                                  Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080.

                                                                                                                                                  È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker .

                                                                                                                                                  Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.

                                                                                                                                                  10

                                                                                                                                                  Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

                                                                                                                                                  11

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory denominato HdsTrialGroup e aggiungere gli utenti pilota. Il gruppo di prova può avere fino a 250 utenti. L'oggetto HdsTrialGroup deve essere sincronizzato con il cloud prima di poter avviare una prova per la tua organizzazione. Per sincronizzare un oggetto gruppo, selezionarlo nel menu Configurazione > Selezione oggetto del Connettore directory. (Per istruzioni dettagliate, vedi la Guida alla distribuzione per Cisco Directory Connector).

                                                                                                                                                  Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione della sicurezza dei dati ibridi, tutti gli utenti perdono l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto.

                                                                                                                                                  Impostazione di un cluster di sicurezza dei dati ibridi

                                                                                                                                                  Flusso delle attività di distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Preparazione dell'ambiente

                                                                                                                                                  1

                                                                                                                                                  Eseguire l'impostazione iniziale e scaricare i file di installazione

                                                                                                                                                  Scaricare il file OVA sul computer locale per un utilizzo successivo.

                                                                                                                                                  2

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Installazione del file OVA dell'host HDS

                                                                                                                                                  Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete.

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  4

                                                                                                                                                  Impostare la VM di sicurezza dei dati ibridi

                                                                                                                                                  Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  5

                                                                                                                                                  Caricamento e montaggio dell'ISO di configurazione HDS

                                                                                                                                                  Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.

                                                                                                                                                  7

                                                                                                                                                  Registra il primo nodo nel cluster

                                                                                                                                                  Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Crea e registra altri nodi

                                                                                                                                                  Completare l'impostazione del cluster.

                                                                                                                                                  9

                                                                                                                                                  Esegui una versione di prova e passa alla produzione (capitolo successivo)

                                                                                                                                                  Fino a quando non si avvia una versione di prova, i nodi generano un allarme per indicare che il servizio non è ancora attivato.

                                                                                                                                                  Scarica file di installazione

                                                                                                                                                  In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.
                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com, quindi fare clic su Servizi.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.

                                                                                                                                                  Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornire il numero di account e chiedere di abilitare la sicurezza dei dati ibridi per la propria organizzazione. Per individuare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.

                                                                                                                                                  È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni . Nella scheda di sicurezza dei dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dei dati ibridi nella sezione Guida .

                                                                                                                                                  Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA.

                                                                                                                                                  3

                                                                                                                                                  Selezionare No per indicare che non è stato ancora impostato il nodo, quindi fare clic su Avanti.

                                                                                                                                                  Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
                                                                                                                                                  4

                                                                                                                                                  Opzionalmente, fai clic su Apri Guida alla distribuzione per verificare se è disponibile una versione più recente di questa guida.

                                                                                                                                                  Creazione di un ISO di configurazione per gli host HDS

                                                                                                                                                  Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    Proxy HTTP senza autenticazione

                                                                                                                                                    AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA

                                                                                                                                                    Proxy HTTP con autenticazione

                                                                                                                                                    AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA

                                                                                                                                                  • Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:

                                                                                                                                                    • Credenziali database

                                                                                                                                                    • Aggiornamenti certificati

                                                                                                                                                    • Modifiche ai criteri di autorizzazione

                                                                                                                                                  • Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

                                                                                                                                                  1

                                                                                                                                                  Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stabile

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stabile

                                                                                                                                                  Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

                                                                                                                                                  2

                                                                                                                                                  Per accedere al registro dell'immagine Docker, inserire quanto segue:

                                                                                                                                                  accesso docker -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Alla richiesta della password, immettere questo cancelletto:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Scarica l'ultima immagine stabile per l'ambiente in uso:

                                                                                                                                                  In ambienti normali:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stabile

                                                                                                                                                  In ambienti FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stabile
                                                                                                                                                  5

                                                                                                                                                  Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                  • In ambienti normali senza un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile
                                                                                                                                                  • In ambienti normali con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable
                                                                                                                                                  • Negli ambienti regolari con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable
                                                                                                                                                  • In ambienti FedRAMP senza un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable
                                                                                                                                                  • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

                                                                                                                                                  Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

                                                                                                                                                  6

                                                                                                                                                  Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

                                                                                                                                                  Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione cliente per Control Hub al prompt.

                                                                                                                                                  Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

                                                                                                                                                  7

                                                                                                                                                  Quando richiesto, inserisci le credenziali di accesso amministratore del cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

                                                                                                                                                  • No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
                                                                                                                                                  • : se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.
                                                                                                                                                  10

                                                                                                                                                  Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

                                                                                                                                                  • Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
                                                                                                                                                  • Se il certificato è OK, fare clic su Continua.
                                                                                                                                                  • Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.
                                                                                                                                                  11

                                                                                                                                                  Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

                                                                                                                                                  1. Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.

                                                                                                                                                  2. (Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:

                                                                                                                                                    • Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .

                                                                                                                                                    • Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .

                                                                                                                                                  3. Immettere l'indirizzo del server del database nel formato : o :.

                                                                                                                                                    Esempio:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

                                                                                                                                                    Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433

                                                                                                                                                  4. Immettere il Nome database.

                                                                                                                                                  5. Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

                                                                                                                                                  12

                                                                                                                                                  Selezionare una Modalità di connessione al database TLS:

                                                                                                                                                  Mode

                                                                                                                                                  Descrizione

                                                                                                                                                  Scegli TLS (opzione predefinita)

                                                                                                                                                  I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.

                                                                                                                                                  Richiedi TLS

                                                                                                                                                  I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.

                                                                                                                                                  Richiedere TLS e verificare il firmatario del certificato

                                                                                                                                                  Questa modalità non è applicabile ai database di SQL Server.

                                                                                                                                                  • I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione.

                                                                                                                                                  Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Richiedere TLS e verificare il firmatario e il nome host del certificato

                                                                                                                                                  • I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.

                                                                                                                                                  • Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione.

                                                                                                                                                  • I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione.

                                                                                                                                                  Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

                                                                                                                                                  Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

                                                                                                                                                  13

                                                                                                                                                  Nella pagina Registri di sistema, configurare il server Syslogd:

                                                                                                                                                  1. Immettere l'URL del server syslog.

                                                                                                                                                    Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

                                                                                                                                                    Esempio:
                                                                                                                                                    udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
                                                                                                                                                  2. Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

                                                                                                                                                    Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.

                                                                                                                                                  3. Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP

                                                                                                                                                    • Byte nullo -- \x00

                                                                                                                                                    • Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.

                                                                                                                                                  4. Fare clic su Continua.

                                                                                                                                                  14

                                                                                                                                                  (Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

                                                                                                                                                  app_datasource_connection_pool_maxDimensioni: 10
                                                                                                                                                  15

                                                                                                                                                  Fare clic su Continua nella schermata Reimposta password account servizio .

                                                                                                                                                  Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

                                                                                                                                                  16

                                                                                                                                                  Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

                                                                                                                                                  17

                                                                                                                                                  Effettuare una copia di backup del file ISO sul sistema locale.

                                                                                                                                                  Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  18

                                                                                                                                                  Per chiudere lo strumento di impostazione, digitare CTRL + C.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

                                                                                                                                                  Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

                                                                                                                                                  Installazione del file OVA dell'host HDS

                                                                                                                                                  Utilizzare questa procedura per creare una macchina virtuale dal file OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selezionare File > Distribuisci modello OVF.

                                                                                                                                                  3

                                                                                                                                                  Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.

                                                                                                                                                  4

                                                                                                                                                  Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti.

                                                                                                                                                  Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.

                                                                                                                                                  6

                                                                                                                                                  Verifica i dettagli del modello, quindi fai clic su Avanti.

                                                                                                                                                  7

                                                                                                                                                  Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.

                                                                                                                                                  8

                                                                                                                                                  Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.

                                                                                                                                                  9

                                                                                                                                                  Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.

                                                                                                                                                  10

                                                                                                                                                  Nella pagina Personalizza modello , configura le seguenti impostazioni di rete:

                                                                                                                                                  • Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo.
                                                                                                                                                    • Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                    • Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata.

                                                                                                                                                    • La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri.

                                                                                                                                                  • Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo.

                                                                                                                                                    Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  • Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0.
                                                                                                                                                  • Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete.
                                                                                                                                                  • Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS).
                                                                                                                                                  • Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP.
                                                                                                                                                  • Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi.

                                                                                                                                                  Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo.

                                                                                                                                                  L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.

                                                                                                                                                  11

                                                                                                                                                  Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione.

                                                                                                                                                  Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo.

                                                                                                                                                  Suggerimenti per la risoluzione dei problemi

                                                                                                                                                  Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

                                                                                                                                                  Impostare la VM di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

                                                                                                                                                  1

                                                                                                                                                  Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console .

                                                                                                                                                  La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
                                                                                                                                                  2

                                                                                                                                                  Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali:

                                                                                                                                                  1. Accesso: amministratore

                                                                                                                                                  2. Password: cisco

                                                                                                                                                  Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.

                                                                                                                                                  3

                                                                                                                                                  Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .

                                                                                                                                                  4

                                                                                                                                                  Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.

                                                                                                                                                  5

                                                                                                                                                  (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete.

                                                                                                                                                  Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

                                                                                                                                                  Caricamento e montaggio dell'ISO di configurazione HDS

                                                                                                                                                  Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

                                                                                                                                                  1

                                                                                                                                                  Caricare il file ISO dal computer:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.

                                                                                                                                                  2. Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.

                                                                                                                                                  3. Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.

                                                                                                                                                  4. Fare clic sull'icona Carica file, quindi fare clic su Carica file.

                                                                                                                                                  5. Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.

                                                                                                                                                  6. Fare clic su per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

                                                                                                                                                  2

                                                                                                                                                  Montare il file ISO:

                                                                                                                                                  1. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  2. Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.

                                                                                                                                                  3. Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connesso e Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e riavviare la macchina virtuale.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

                                                                                                                                                  Configurazione del nodo HDS per l'integrazione proxy

                                                                                                                                                  Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  1

                                                                                                                                                  Inserire l'URL di installazione del nodo HDS https://[IP node HDS o nome di dominio completo]/Setup in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a attendibilità archivio e proxy, quindi scegliere un'opzione:

                                                                                                                                                  • Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto.
                                                                                                                                                  • Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
                                                                                                                                                  • Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
                                                                                                                                                  • Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni:
                                                                                                                                                    1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.

                                                                                                                                                    2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.

                                                                                                                                                    3. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy.

                                                                                                                                                    4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:

                                                                                                                                                      • Nessuno: non è richiesta un'ulteriore autenticazione.

                                                                                                                                                        Disponibile per proxy HTTP o HTTPS.

                                                                                                                                                      • Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.

                                                                                                                                                        Disponibile per proxy HTTP o HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario inserire anche nome utente e password.

                                                                                                                                                      • Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.

                                                                                                                                                        Disponibile solo per i proxy HTTPS.

                                                                                                                                                        Se si sceglie questa opzione, è necessario inserire anche nome utente e password.

                                                                                                                                                  Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy.

                                                                                                                                                  Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

                                                                                                                                                  Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.

                                                                                                                                                  5

                                                                                                                                                  Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

                                                                                                                                                  6

                                                                                                                                                  Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti.

                                                                                                                                                  Il nodo si riavvia tra pochi minuti.

                                                                                                                                                  7

                                                                                                                                                  Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde.

                                                                                                                                                  Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

                                                                                                                                                  Registra il primo nodo nel cluster

                                                                                                                                                  Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.

                                                                                                                                                  • Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dal menu sul lato sinistro dello schermo, selezionare Servizi.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Servizi ibridi, individuare la sicurezza dei dati ibridi e fare clic su Imposta.

                                                                                                                                                  Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
                                                                                                                                                  4

                                                                                                                                                  Selezionare per indicare che il nodo è stato impostato e si è pronti per registrarlo, quindi fare clic su Avanti.

                                                                                                                                                  5

                                                                                                                                                  Nel primo campo, immettere un nome per il cluster a cui assegnare il nodo di sicurezza dei dati ibridi.

                                                                                                                                                  Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Nel secondo campo, inserisci l'indirizzo IP interno o il nome di dominio completo del nodo e fai clic su Avanti.

                                                                                                                                                  Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
                                                                                                                                                  7

                                                                                                                                                  Fai clic su Vai a nodo.

                                                                                                                                                  8

                                                                                                                                                  Fare clic su Continua nel messaggio di avviso.

                                                                                                                                                  Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
                                                                                                                                                  9

                                                                                                                                                  Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua.

                                                                                                                                                  L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Nella pagina Sicurezza dati ibridi viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scarica automaticamente l'ultimo software dal cloud.

                                                                                                                                                  Crea e registra altri nodi

                                                                                                                                                  Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

                                                                                                                                                  In questo momento, le VM di backup create in Completare i prerequisiti per la sicurezza dei dati ibridi sono host standby che vengono utilizzati solo in caso di ripristino di emergenza; non sono registrati nel sistema fino a quel momento. Per dettagli, vedere Ripristino di emergenza tramite centro dati Standby.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.

                                                                                                                                                  • Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.

                                                                                                                                                  2

                                                                                                                                                  Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registrare il nodo.

                                                                                                                                                  1. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2. Nella sezione Servizi ibridi, individuare la scheda di sicurezza dei dati ibridi e fare clic su Risorse.

                                                                                                                                                    Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi.
                                                                                                                                                  3. Fare clic su Aggiungi risorsa.

                                                                                                                                                  4. Nel primo campo, selezionare il nome del cluster esistente.

                                                                                                                                                  5. Nel secondo campo, inserisci l'indirizzo IP interno o il nome di dominio completo del nodo e fai clic su Avanti.

                                                                                                                                                    Viene visualizzato un messaggio che indica che è possibile registrare il nodo nel cloud Webex.
                                                                                                                                                  6. Fai clic su Vai a nodo.

                                                                                                                                                    Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo.
                                                                                                                                                  7. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua.

                                                                                                                                                    L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
                                                                                                                                                  8. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub.

                                                                                                                                                  Il nodo è registrato. Tenere presente che fino a quando non si avvia una versione di prova, i nodi generano un allarme per indicare che il servizio non è ancora attivato.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Esegui una versione di prova e passa alla produzione (capitolo successivo)

                                                                                                                                                  Esegui una versione di prova e passa in produzione

                                                                                                                                                  Flusso attività di prova-produzione

                                                                                                                                                  Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un progetto pilota, aggiungervi utenti e iniziare a utilizzarlo per il test e la verifica della distribuzione in preparazione del passaggio alla produzione.

                                                                                                                                                  1

                                                                                                                                                  Se applicabile, sincronizzare l'oggetto del gruppo HdsTrialGroup .

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto gruppo HdsTrialGroup per la sincronizzazione con il cloud prima di poter avviare una prova. Per istruzioni, vedi la Guida alla distribuzione per Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Avvia una versione di prova. Fino a quando non si esegue questa attività, i nodi generano un allarme per indicare che il servizio non è ancora attivato.

                                                                                                                                                  3

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  4

                                                                                                                                                  Monitoraggio dello stato della sicurezza dei dati ibridi

                                                                                                                                                  Controllare lo stato e impostare le notifiche e-mail per gli allarmi.

                                                                                                                                                  5

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  6

                                                                                                                                                  Completare la fase di prova con una delle seguenti azioni:

                                                                                                                                                  Attiva versione di prova

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto gruppo HdsTrialGroup per la sincronizzazione con il cloud prima di poter avviare una prova per la propria organizzazione. Per istruzioni, vedi la Guida alla distribuzione per Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Accedere a https://admin.webex.com e selezionare Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fare clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Avvia versione di prova.

                                                                                                                                                  Lo stato del servizio cambia in modalità di prova.
                                                                                                                                                  4

                                                                                                                                                  Fare clic su Aggiungi utenti e inserire l'indirizzo e-mail di uno o più utenti per eseguire il test utilizzando i nodi di sicurezza dei dati ibridi per i servizi di crittografia e indicizzazione.

                                                                                                                                                  (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizza Active Directory per gestire il gruppo di prova, HdsTrialGroup).

                                                                                                                                                  Verifica della distribuzione della sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Impostare la distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  • Attivare la versione di prova e aggiungere diversi utenti di prova.

                                                                                                                                                  • Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave vengano trasferite alla distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  1

                                                                                                                                                  Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti pilota, quindi creare uno spazio e invitare almeno un utente pilota e uno non pilota.

                                                                                                                                                  Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

                                                                                                                                                  2

                                                                                                                                                  Invia messaggi al nuovo spazio.

                                                                                                                                                  3

                                                                                                                                                  Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  1. Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

                                                                                                                                                    Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

                                                                                                                                                    Si dovrebbe trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Si dovrebbe trovare una voce come:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitoraggio dello stato della sicurezza dei dati ibridi

                                                                                                                                                  Un indicatore di stato in Control Hub mostra se è tutto a posto con la distribuzione della sicurezza dei dati ibridi. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.
                                                                                                                                                  1

                                                                                                                                                  In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.

                                                                                                                                                  2

                                                                                                                                                  Nella sezione Servizi ibridi, individuare la sicurezza dei dati ibridi e fare clic su Impostazioni.

                                                                                                                                                  Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
                                                                                                                                                  3

                                                                                                                                                  Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

                                                                                                                                                  Aggiunta o rimozione di utenti dalla versione di prova

                                                                                                                                                  Dopo aver attivato una versione di prova e aggiunto il set iniziale di utenti della versione di prova, è possibile aggiungere o rimuovere membri della versione di prova in qualsiasi momento mentre la versione di prova è attiva.

                                                                                                                                                  Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi da KMS cloud anziché da KMS. Se il client necessita di una chiave memorizzata su KMS, il KMS cloud la recupererà per conto dell'utente.

                                                                                                                                                  Se la tua organizzazione utilizza la sincronizzazione delle rubriche, utilizza Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.

                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub e seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fare clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova.

                                                                                                                                                  4

                                                                                                                                                  Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X accanto a un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic su Salva.

                                                                                                                                                  Passa da versione di prova a produzione

                                                                                                                                                  Una volta soddisfatti che la distribuzione funziona bene per gli utenti della versione di prova, è possibile passare alla fase di produzione. Quando passi in produzione, tutti gli utenti nell'organizzazione utilizzeranno il tuo dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di autenticazione di sicurezza. Non è possibile tornare alla modalità di prova dalla produzione a meno che non si disattiva il servizio come parte del ripristino di emergenza. La riattivazione del servizio richiede l'impostazione di una nuova versione di prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub e seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fare clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Stato servizio, fare clic su Sposta in produzione.

                                                                                                                                                  4

                                                                                                                                                  Conferma che desideri spostare tutti gli utenti in produzione.

                                                                                                                                                  Terminare la versione di prova senza passare alla produzione

                                                                                                                                                  Se, durante la versione di prova, si decide di non andare avanti con la sicurezza dei dati ibridi, è possibile disattivare la sicurezza dei dati ibridi; di conseguenza, viene terminata la versione di prova e gli utenti della versione di prova vengono nuovamente trasferiti ai servizi di sicurezza dei dati sul cloud. Gli utenti della versione di prova perderanno l'accesso ai dati crittografati durante la versione di prova.
                                                                                                                                                  1

                                                                                                                                                  Accedi a Control Hub e seleziona Servizi.

                                                                                                                                                  2

                                                                                                                                                  In Sicurezza dati ibridi, fare clic su Impostazioni.

                                                                                                                                                  3

                                                                                                                                                  Nella sezione Disattiva, fare clic su Disattiva.

                                                                                                                                                  4

                                                                                                                                                  Confermare che si desidera disattivare il servizio e terminare la versione di prova.

                                                                                                                                                  Gestisci la distribuzione HDS

                                                                                                                                                  Gestisci distribuzione HDS

                                                                                                                                                  Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  Imposta pianificazione aggiornamento cluster

                                                                                                                                                  Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

                                                                                                                                                  Per impostare la pianificazione di aggiornamento:

                                                                                                                                                  1

                                                                                                                                                  Accedere a Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.

                                                                                                                                                  4

                                                                                                                                                  Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster.

                                                                                                                                                  5

                                                                                                                                                  Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento.

                                                                                                                                                  Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile rinviare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi.

                                                                                                                                                  Modifica della configurazione del nodo

                                                                                                                                                  A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:
                                                                                                                                                  • Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

                                                                                                                                                    La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

                                                                                                                                                  • Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

                                                                                                                                                    La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

                                                                                                                                                  Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

                                                                                                                                                  • Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.

                                                                                                                                                  • Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

                                                                                                                                                  Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

                                                                                                                                                  Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.

                                                                                                                                                    Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

                                                                                                                                                    Descrizione

                                                                                                                                                    Variabile

                                                                                                                                                    Proxy HTTP senza autenticazione

                                                                                                                                                    AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA

                                                                                                                                                    Proxy HTTPS senza autenticazione

                                                                                                                                                    AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA

                                                                                                                                                    Proxy HTTP con autenticazione

                                                                                                                                                    AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA

                                                                                                                                                    Proxy HTTPS con autenticazione

                                                                                                                                                    AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA

                                                                                                                                                  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

                                                                                                                                                  1

                                                                                                                                                  Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

                                                                                                                                                  1. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stabile

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stabile

                                                                                                                                                    Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

                                                                                                                                                  2. Per accedere al registro dell'immagine Docker, inserire quanto segue:

                                                                                                                                                    accesso docker -u hdscustomersro
                                                                                                                                                  3. Alla richiesta della password, immettere questo cancelletto:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Scarica l'ultima immagine stabile per l'ambiente in uso:

                                                                                                                                                    In ambienti normali:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stabile

                                                                                                                                                    In ambienti FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stabile

                                                                                                                                                    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

                                                                                                                                                  5. Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

                                                                                                                                                    • In ambienti normali senza un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile
                                                                                                                                                    • In ambienti normali con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable
                                                                                                                                                    • In ambienti normali con un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable
                                                                                                                                                    • In ambienti FedRAMP senza un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable
                                                                                                                                                    • In ambienti FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

                                                                                                                                                    Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

                                                                                                                                                  6. Utilizzare un browser per eseguire la connessione all'host locale, http://127.0.0.1:8080.

                                                                                                                                                    Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

                                                                                                                                                  7. Quando richiesto, inserisci le credenziali di accesso del cliente Control Hub, quindi fai clic su Accetta per continuare.

                                                                                                                                                  8. Importare il file ISO di configurazione corrente.

                                                                                                                                                  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

                                                                                                                                                    Per chiudere lo strumento di impostazione, digitare CTRL + C.

                                                                                                                                                  10. Creare una copia di backup del file aggiornato in un altro centro dati.

                                                                                                                                                  2

                                                                                                                                                  Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi.

                                                                                                                                                  1. Installare il file OVA dell'host HDS.

                                                                                                                                                  2. Impostare la macchina virtuale HDS.

                                                                                                                                                  3. Montare il file di configurazione aggiornato.

                                                                                                                                                  4. Registrare il nuovo nodo in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo:

                                                                                                                                                  1. Disattivare la macchina virtuale.

                                                                                                                                                  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

                                                                                                                                                  3. Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

                                                                                                                                                  4. Selezionare Connetti all'accensione.

                                                                                                                                                  5. Salvare le modifiche e accendere la macchina virtuale.

                                                                                                                                                  4

                                                                                                                                                  Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

                                                                                                                                                  Disattiva modalità di risoluzione DNS esterna bloccata

                                                                                                                                                  Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

                                                                                                                                                  Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.
                                                                                                                                                  1

                                                                                                                                                  In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

                                                                                                                                                  2

                                                                                                                                                  Andare a Panoramica (pagina predefinita).

                                                                                                                                                  Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su .

                                                                                                                                                  3

                                                                                                                                                  Andare alla pagina Archivio attendibili e proxy .

                                                                                                                                                  4

                                                                                                                                                  Fare clic su Controlla connessione proxy.

                                                                                                                                                  Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

                                                                                                                                                  Rimuovi un nodo

                                                                                                                                                  Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.
                                                                                                                                                  1

                                                                                                                                                  Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

                                                                                                                                                  2

                                                                                                                                                  Rimuovere il nodo:

                                                                                                                                                  1. Accedi a Control Hub e seleziona Servizi.

                                                                                                                                                  2. Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.

                                                                                                                                                  3. Seleziona il cluster per visualizzare il relativo pannello Panoramica.

                                                                                                                                                  4. Fai clic su Apri elenco nodi.

                                                                                                                                                  5. Nella scheda Nodi, selezionare il nodo che si desidera rimuovere.

                                                                                                                                                  6. Fai clic su Azioni > Annulla registrazione nodo.

                                                                                                                                                  3

                                                                                                                                                  Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

                                                                                                                                                  Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

                                                                                                                                                  Ripristino di emergenza tramite centro dati Standby

                                                                                                                                                  Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

                                                                                                                                                  Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

                                                                                                                                                  Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

                                                                                                                                                  1

                                                                                                                                                  Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.

                                                                                                                                                  2

                                                                                                                                                  Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate

                                                                                                                                                  3

                                                                                                                                                  Nella pagina Impostazioni avanzate , aggiungere la configurazione seguente o rimuovere la configurazione passiveMode per rendere attivo il nodo. Il nodo può gestire il traffico una volta configurato.

                                                                                                                                                   Modalità passiva: 'falso' 

                                                                                                                                                  4

                                                                                                                                                  Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.

                                                                                                                                                  5

                                                                                                                                                  Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

                                                                                                                                                  6

                                                                                                                                                  Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Edit Settings (Modifica impostazioni).

                                                                                                                                                  7

                                                                                                                                                  Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore.

                                                                                                                                                  Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.

                                                                                                                                                  8

                                                                                                                                                  Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.

                                                                                                                                                  9

                                                                                                                                                  Ripetere il processo per ogni nodo nel centro dati di standby.

                                                                                                                                                  Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. Il messaggio "KMS configurato in modalità passiva" non deve essere visualizzato nei syslogs.

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Dopo il failover, se il centro dati principale diventa nuovamente attivo, posizionare nuovamente il centro dati di standby in modalità passiva seguendo la procedura descritta in Impostazione del centro dati di standby per il ripristino di emergenza.

                                                                                                                                                  (Opzionale) Smontaggio di ISO dopo la configurazione HDS

                                                                                                                                                  La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

                                                                                                                                                  I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

                                                                                                                                                  1

                                                                                                                                                  Arrestare uno dei nodi HDS.

                                                                                                                                                  2

                                                                                                                                                  Nell'applicazione vCenter Server, selezionare il nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.

                                                                                                                                                  5

                                                                                                                                                  Ripetere a turno per ciascun nodo HDS.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Visualizzazione di avvisi e risoluzione dei problemi

                                                                                                                                                  Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

                                                                                                                                                  • Impossibile creare nuovi spazi (impossibile creare nuove chiavi)

                                                                                                                                                  • Impossibile decrittografare messaggi e titoli degli spazi per:

                                                                                                                                                    • Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)

                                                                                                                                                    • Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)

                                                                                                                                                  • Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

                                                                                                                                                  È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

                                                                                                                                                  Avvisi

                                                                                                                                                  Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

                                                                                                                                                  Tabella 1. Problemi comuni e procedure per risolverli

                                                                                                                                                  Avviso

                                                                                                                                                  Azione

                                                                                                                                                  Errore di accesso al database locale.

                                                                                                                                                  Verificare la presenza di errori del database o problemi di rete locale.

                                                                                                                                                  Errore di connessione al database locale.

                                                                                                                                                  Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.

                                                                                                                                                  Errore di accesso al servizio cloud.

                                                                                                                                                  Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.

                                                                                                                                                  Rinnovo della registrazione al servizio cloud.

                                                                                                                                                  La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.

                                                                                                                                                  Registrazione servizio cloud interrotta.

                                                                                                                                                  Registrazione per servizi cloud terminata. Arresto del servizio in corso.

                                                                                                                                                  Servizio non ancora attivato.

                                                                                                                                                  Attiva una versione di prova o termina il trasferimento della versione di prova in produzione.

                                                                                                                                                  Il dominio configurato non corrisponde al certificato del server.

                                                                                                                                                  Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato.

                                                                                                                                                  La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.

                                                                                                                                                  Impossibile eseguire l'autenticazione per i servizi cloud.

                                                                                                                                                  Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.

                                                                                                                                                  Impossibile aprire il file del keystore locale.

                                                                                                                                                  Verificare l'integrità e l'accuratezza della password sul file del keystore locale.

                                                                                                                                                  Certificato del server locale non valido.

                                                                                                                                                  Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.

                                                                                                                                                  Impossibile pubblicare le metriche.

                                                                                                                                                  Controllare l'accesso di rete locale ai servizi cloud esterni.

                                                                                                                                                  La directory /media/configdrive/hds non esiste.

                                                                                                                                                  Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.

                                                                                                                                                  Risoluzione dei problemi di sicurezza dei dati ibridi

                                                                                                                                                  Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.
                                                                                                                                                  1

                                                                                                                                                  Esamina Control Hub per eventuali avvisi e correggi eventuali elementi disponibili.

                                                                                                                                                  2

                                                                                                                                                  Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi.

                                                                                                                                                  3

                                                                                                                                                  Contatta il supporto Cisco.

                                                                                                                                                  Altre note

                                                                                                                                                  Problemi noti per la sicurezza dei dati ibridi

                                                                                                                                                  • Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex non potranno più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Ciò si applica sia alle distribuzioni di prova che a quelle di produzione. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.

                                                                                                                                                  • Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova della sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino al timeout. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione in cui l'app contatta per le chiavi di crittografia.

                                                                                                                                                    Lo stesso funzionamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti non di prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino a quando la connessione ECDH non viene rinegoziata (durante il timeout o disconnettendosi e accedendo nuovamente).

                                                                                                                                                  Utilizzare OpenSSL per generare un file PKCS12

                                                                                                                                                  Operazioni preliminari

                                                                                                                                                  • OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.

                                                                                                                                                  • Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.

                                                                                                                                                  • Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.

                                                                                                                                                  • Creare una chiave privata.

                                                                                                                                                  • Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

                                                                                                                                                  1

                                                                                                                                                  Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualizzare il certificato come testo e verificare i dettagli.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizzare un editor di testo per creare un file bundle di certificati denominato hdsnode-bundle.pem. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente:

                                                                                                                                                  -----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Creare il file .p12 con il nome descrittivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controllare i dettagli del certificato del server.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee friendlyName: kms-private-key.

                                                                                                                                                    Esempio:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave:  Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA-----  -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

                                                                                                                                                  Operazioni successive

                                                                                                                                                  Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

                                                                                                                                                  È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

                                                                                                                                                  Traffico tra i nodi HDS e il cloud

                                                                                                                                                  Traffico raccolta metriche in uscita

                                                                                                                                                  I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

                                                                                                                                                  Traffico in entrata

                                                                                                                                                  I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

                                                                                                                                                  • Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia

                                                                                                                                                  • Aggiornamenti al software del nodo

                                                                                                                                                  Configurazione dei proxy Squid per la sicurezza dei dati ibridi

                                                                                                                                                  WebSocket non può connettersi attraverso il proxy Squid

                                                                                                                                                  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

                                                                                                                                                  Calamari 4 e 5

                                                                                                                                                  Aggiungere la on_unsupported_protocol direttiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel tutto

                                                                                                                                                  3.5.27 di calamari

                                                                                                                                                  La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti
                                                                                                                                                  Questo articolo è stato utile?
                                                                                                                                                  Questo articolo è stato utile?