- Home
- /
- Articolo
Guida alla distribuzione per la sicurezza dei dati ibridi Webex
Informazioni nuove e modificate
Data | Modifiche apportate | ||
---|---|---|---|
20 ottobre 2023 |
| ||
7 agosto 2023 |
| ||
23 maggio 2023 |
| ||
6 dicembre 2022 |
| ||
23 novembre 2022 |
| ||
13 ottobre 2021 | Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker. | ||
24 giugno 2021 | Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12. | ||
30 aprile 2021 | Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale. | ||
24 febbraio 2021 | Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS. | ||
2 febbraio 2021 | HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS. | ||
11 gennaio 2021 | Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. | ||
13 ottobre 2020 | Aggiornato Scarica file di installazione. | ||
8 ottobre 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. | ||
14 agosto 2020 | Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso. | ||
5 agosto 2020 | Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro. Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori. | ||
16 giugno 2020 | Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. | ||
4 giugno 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare. | ||
29 maggio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti. | ||
5 maggio 2020 | Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5. | ||
21 aprile 2020 | Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas. | ||
1° aprile 2020 | Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali. | ||
20 febbraio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS. | ||
4 febbraio 2020 | Aggiornati i requisiti del server proxy. | ||
16 dicembre 2019 | Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. | ||
19 novembre 2019 | Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: | ||
8 novembre 2019 | Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Aggiornate di conseguenza le seguenti sezioni:
| ||
6 settembre 2019 | Aggiunto SQL Server Standard ai requisiti del server database. | ||
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto. | ||
20 agosto 2019 | Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex. | ||
13 giugno 2019 | Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche. | ||
6 marzo 2019 |
| ||
28 febbraio 2019 |
| ||
26 febbraio 2019 |
| ||
24 gennaio 2019 |
| ||
5 novembre 2018 |
| ||
giovedì 19 ottobre 2018 |
| ||
31 luglio 2018 |
| ||
21 maggio 2018 | Terminologia modificata per riflettere il rebranding di Cisco Spark:
| ||
11 aprile 2018 |
| ||
22 febbraio 2018 |
| ||
15 febbraio 2018 |
| ||
18 gennaio 2018 |
| ||
2 novembre 2017 |
| ||
18 agosto 2017 | Prima pubblicazione |
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.
Architettura dell'area di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.
Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
le apparecchiature, il software e l'accesso alla rete descritti in Prepare Your Environment (Prepara il tuo ambiente).
La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:
Gestire il backup e il ripristino del database e della configurazione ISO.
Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.
Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS. |
Processo di impostazione di alto livello
Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:
Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.
Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.
Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.
Modello di distribuzione di sicurezza dei dati ibridi
All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova della sicurezza dei dati ibridi
Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.
Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".
Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati standby per ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.
I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo. |
Imposta centro dati standby per ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).
Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.
| ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
Dopo la configurazione passiveMode
nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode
configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode
configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:
Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
HTTP: visualizza e controlla tutte le richieste inviate dal client.
HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.
Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:
Nessuno: non è richiesta alcuna ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.
Requisiti per la sicurezza dei dati ibridi
Requisiti della licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti desktop docker
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".
Requisiti di certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito | Dettagli |
---|---|
| Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
| Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, Il CN non deve contenere un * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione. |
| Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
| È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti organizzatore virtuale
Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:
Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro
VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server
Requisiti server database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database. |
Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) | Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:
PostgreSQL | Server Microsoft SQL |
---|---|
Driver Postgres JDBC 42.2.5 | Driver JDBC server SQL 4.6 Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On). |
Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.
Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:
Applicazione | Protocol | Porta | Direzione dall'app | Destinazione |
---|---|---|---|---|
Nodi di sicurezza dati ibridi | TCP | 443 | HTTPS e WSS in uscita |
|
Strumento di impostazione HDS | TCP | 443 | HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi. |
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione | URL host identità comune |
---|---|
Americhe |
|
Unione Europea |
|
Canada |
|
Requisiti server proxy
Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.
Proxy trasparente: Cisco Web Security Appliance (WSA).
Proxy esplicito: Squid.
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket (wss:) connessioni. Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
Nessuna autenticazione con HTTP o HTTPS
Autenticazione di base con HTTP o HTTPS
Autenticazione del digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.
È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso
wbx2.com
eciscospark.com
risolverà il problema.
Completamento dei prerequisiti per la sicurezza dei dati ibridi
1 | Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo. | ||
2 | Scegliere un nome di dominio per la distribuzione HDS (ad esempio, | ||
3 | Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale. | ||
4 | Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. | ||
5 | Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. | ||
6 | Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514). | ||
7 | Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.
I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico. | ||
8 | Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna. | ||
9 | Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080. Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker. Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna. | ||
10 | Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy. | ||
11 | Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato
|
Flusso attività distribuzione sicurezza dati ibridi
Operazioni preliminari
1 |
Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente. | ||
2 | Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi. | ||
3 | Installazione del file OVA organizzatore HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.
| ||
4 | Impostazione della sicurezza dei dati ibridi VM Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA. | ||
5 | Caricamento e montaggio della configurazione HDS ISO Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS. | ||
6 | Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario. | ||
7 | Registrazione del primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi. | ||
8 | Creazione e registrazione di altri nodi Completare l'impostazione del cluster. | ||
9 | Eseguire una versione di prova e passare alla produzione (capitolo successivo) Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato. |
Scarica file di installazione
1 | Accedere a https://admin.webex.com, quindi fare clic su Servizi. | ||||
2 | Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.
| ||||
3 | Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti. Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
| ||||
4 | Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida. |
Creazione di un ISO di configurazione per gli host HDS
Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:
Credenziali del database
Aggiornamenti dei certificati
Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.
1 | Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
2 | Per accedere al registro immagini Docker, immettere quanto segue:
| ||||||||||||
3 | Alla richiesta della password, immettere questo hash:
| ||||||||||||
4 | Scaricare l'immagine stabile più recente per il proprio ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
5 | Al termine del pull, immettere il comando appropriato per l'ambiente:
Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080". | ||||||||||||
6 |
Utilizzare un browser Web per passare all'host locale, Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard. | ||||||||||||
7 | Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi. | ||||||||||||
8 | Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione. | ||||||||||||
9 | Nella pagina Importazione ISO sono disponibili le seguenti opzioni:
| ||||||||||||
10 | Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.
| ||||||||||||
11 | Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave: | ||||||||||||
12 | Selezionare una modalità di connessione al database TLS:
Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente. | ||||||||||||
13 | Nella pagina Registri di sistema, configurare il server Syslogd: | ||||||||||||
14 | (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:
| ||||||||||||
15 | Fare clic su Continua nella schermata Reimposta password account di servizio. Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti. | ||||||||||||
16 | Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare. | ||||||||||||
17 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||||||||||||
18 | Per chiudere lo strumento di installazione, digitare |
Operazioni successive
Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.
Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi. |
Installazione del file OVA organizzatore HDS
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi. | ||||||
2 | Selezionare File > Distribuisci modello OVF. | ||||||
3 | Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo. | ||||||
4 | Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo. | ||||||
5 | Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello. | ||||||
6 | Verificare i dettagli del modello, quindi fare clic su Avanti. | ||||||
7 | Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo. | ||||||
8 | Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM. | ||||||
9 | Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM. | ||||||
10 | Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:
Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.
| ||||||
11 | Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere .Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere. |
Impostazione della sicurezza dei dati ibridi VM
Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
1 | Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console. La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
|
2 | Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite: Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore. |
3 | Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione. |
4 | Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. |
5 | (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete. Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509. |
6 | Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto. |
Caricamento e montaggio della configurazione HDS ISO
Operazioni preliminari
Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.
1 | Caricare il file ISO dal computer: |
2 | Montare il file ISO: |
Operazioni successive
Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
1 | Inserisci l'URL di impostazione del nodo HDS |
2 | Vai su Trust Store & Proxy, quindi scegli un'opzione:
Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS. |
3 | Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file. |
4 | Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata. |
5 | Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto. |
6 | Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti. Il nodo si riavvia entro pochi minuti. |
7 | Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy. |
Registrazione del primo nodo nel cluster
Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Accedere a https://admin.webex.com. |
2 | Dal menu sul lato sinistro della schermata, selezionare Servizi. |
3 | Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta. Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
|
4 | Seleziona Sì per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti. |
5 | Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas" |
6 | Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
|
7 | Fare clic su Vai a nodo. |
8 | Fare clic su Continua nel messaggio di avviso. Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
|
9 | Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua. L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
|
10 | Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub. Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.
|
Creazione e registrazione di altri nodi
In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby. |
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS. |
2 | Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM. |
3 | Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO. |
4 | Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo. |
5 | Registrare il nodo. Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.
|
Operazioni successive
Flusso attività da prova a produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 | Se applicabile, sincronizzare il Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare |
2 |
Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato. |
3 | Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
4 | Monitoraggio della salute della sicurezza dei dati ibridi Controllare lo stato e impostare notifiche e-mail per gli allarmi. |
5 | |
6 | Completare la fase trial con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup
raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.
1 | Accedere a https://admin.webex.com, quindi selezionare Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 | Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
Impostare la distribuzione di sicurezza dei dati ibridi.
Attivare la versione di prova e aggiungere diversi utenti di prova.
Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.
1 | Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.
| ||
2 | Invia messaggi al nuovo spazio. | ||
3 | Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
Monitoraggio della salute della sicurezza dei dati ibridi
1 | In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 | Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni). Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
|
3 | Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 | Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva . |
Passa da versione di prova a produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione). |
4 | Confermare che si desidera spostare tutti gli utenti in produzione. |
Terminare la prova senza passare alla produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Disattiva fare clic su Disattiva. |
4 | Confermare che si desidera disattivare il servizio e terminare la prova. |
Gestione della distribuzione HDS
Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 | Accedere a Control Hub. |
2 | Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 | Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster. |
4 | Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 | Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
Modifica dei certificati x.509 a causa di una scadenza o altri motivi.
Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.
Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:
Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.
Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.
Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.
1 | Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 | Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi. |
3 | Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo: |
4 | Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattivazione della modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 | In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 | Andare a Overview (pagina predefinita). Quando abilitata, Risoluzione DNS esterno bloccato è impostato su Sì . |
3 | Andare alla pagina Archivio attendibilità e proxy. |
4 | Fare clic su Verifica connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimozione di un nodo
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 | Rimuovi il nodo: |
3 | Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina). Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.
Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS. | ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
(Opzionale) Smontaggio ISO dopo configurazione HDS
La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.
Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.
Operazioni preliminari
Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 | Chiudere uno dei nodi HDS. |
2 | Nella vCenter Server Appliance, selezionare il nodo HDS. |
3 | Scegli Datastore ISO File. e deseleziona |
4 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 | Ripetere per ciascun nodo HDS a sua volta. |
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
I titoli dei messaggi e dello spazio non vengono decrittografati per:
Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso | Azione |
---|---|
Errore di accesso al database locale. |
Verificare la presenza di errori nel database o problemi di rete locale. |
Errore di connessione al database locale. |
Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna. |
Rinnovo della registrazione del servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso. |
Registrazione servizio cloud interrotta. |
La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto. |
Servizio non ancora attivato. |
Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale. |
Impossibile eseguire l'autenticazione ai servizi cloud. |
Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password nel file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso alla rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 | Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi. |
2 | Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security. |
3 | Contatta il supporto Cisco. |
Problemi noti per la sicurezza dei dati ibridi
Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.
Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).
Uso di OpenSSL per generare un file PKCS12
Operazioni preliminari
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.
Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).
1 | Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come |
2 | Visualizzare il certificato come testo e verificare i dettagli.
|
3 | Utilizzare un editor di testo per creare un file di bundle di certificati denominato
|
4 | Creare il file .p12 con il nome amichevole
|
5 | Controllare i dettagli del certificato del server. |
Operazioni successive
Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12
file e la password impostata, in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale. |
Traffico tra i nodi HDS e il cloud
Traffico incasso metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
Richieste di crittografia da client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
Websocket non può connettersi tramite proxy Squid
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:
) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss:
traffico per il corretto funzionamento dei servizi.
Calamaro 4 e 5
Aggiungi il on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tunnel all
Calamaro 3.5.27
Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf
. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informazioni nuove e modificate
Data | Modifiche apportate | ||
---|---|---|---|
20 ottobre 2023 |
| ||
7 agosto 2023 |
| ||
23 maggio 2023 |
| ||
6 dicembre 2022 |
| ||
23 novembre 2022 |
| ||
13 ottobre 2021 | Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker. | ||
24 giugno 2021 | Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12. | ||
30 aprile 2021 | Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale. | ||
24 febbraio 2021 | Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS. | ||
2 febbraio 2021 | HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS. | ||
11 gennaio 2021 | Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. | ||
13 ottobre 2020 | Aggiornato Scarica file di installazione. | ||
8 ottobre 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. | ||
14 agosto 2020 | Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso. | ||
5 agosto 2020 | Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro. Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori. | ||
16 giugno 2020 | Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. | ||
4 giugno 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare. | ||
29 maggio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti. | ||
5 maggio 2020 | Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5. | ||
21 aprile 2020 | Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas. | ||
1° aprile 2020 | Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali. | ||
20 febbraio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS. | ||
4 febbraio 2020 | Aggiornati i requisiti del server proxy. | ||
16 dicembre 2019 | Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. | ||
19 novembre 2019 | Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: | ||
8 novembre 2019 | Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Aggiornate di conseguenza le seguenti sezioni:
| ||
6 settembre 2019 | Aggiunto SQL Server Standard ai requisiti del server database. | ||
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto. | ||
20 agosto 2019 | Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex. | ||
13 giugno 2019 | Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche. | ||
6 marzo 2019 |
| ||
28 febbraio 2019 |
| ||
26 febbraio 2019 |
| ||
24 gennaio 2019 |
| ||
5 novembre 2018 |
| ||
giovedì 19 ottobre 2018 |
| ||
31 luglio 2018 |
| ||
21 maggio 2018 | Terminologia modificata per riflettere il rebranding di Cisco Spark:
| ||
11 aprile 2018 |
| ||
22 febbraio 2018 |
| ||
15 febbraio 2018 |
| ||
18 gennaio 2018 |
| ||
2 novembre 2017 |
| ||
18 agosto 2017 | Prima pubblicazione |
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.
Architettura dell'area di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.
Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
le apparecchiature, il software e l'accesso alla rete descritti in Prepare Your Environment (Prepara il tuo ambiente).
La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:
Gestire il backup e il ripristino del database e della configurazione ISO.
Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.
Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS. |
Processo di impostazione di alto livello
Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:
Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.
Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.
Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.
Modello di distribuzione di sicurezza dei dati ibridi
All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova della sicurezza dei dati ibridi
Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.
Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".
Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati standby per ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.
I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo. |
Imposta centro dati standby per ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).
Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.
| ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
Dopo la configurazione passiveMode
nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode
configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode
configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:
Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
HTTP: visualizza e controlla tutte le richieste inviate dal client.
HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.
Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:
Nessuno: non è richiesta alcuna ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.
Requisiti per la sicurezza dei dati ibridi
Requisiti della licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti desktop docker
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".
Requisiti di certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito | Dettagli |
---|---|
| Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
| Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, Il CN non deve contenere un * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione. |
| Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
| È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti organizzatore virtuale
Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:
Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro
VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server
Requisiti server database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database. |
Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) | Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:
PostgreSQL | Server Microsoft SQL |
---|---|
Driver Postgres JDBC 42.2.5 | Driver JDBC server SQL 4.6 Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On). |
Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.
Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:
Applicazione | Protocol | Porta | Direzione dall'app | Destinazione |
---|---|---|---|---|
Nodi di sicurezza dati ibridi | TCP | 443 | HTTPS e WSS in uscita |
|
Strumento di impostazione HDS | TCP | 443 | HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi. |
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione | URL host identità comune |
---|---|
Americhe |
|
Unione Europea |
|
Canada |
|
Requisiti server proxy
Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.
Proxy trasparente: Cisco Web Security Appliance (WSA).
Proxy esplicito: Squid.
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket (wss:) connessioni. Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
Nessuna autenticazione con HTTP o HTTPS
Autenticazione di base con HTTP o HTTPS
Autenticazione del digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.
È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso
wbx2.com
eciscospark.com
risolverà il problema.
Completamento dei prerequisiti per la sicurezza dei dati ibridi
1 | Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo. | ||
2 | Scegliere un nome di dominio per la distribuzione HDS (ad esempio, | ||
3 | Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale. | ||
4 | Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. | ||
5 | Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. | ||
6 | Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514). | ||
7 | Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.
I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico. | ||
8 | Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna. | ||
9 | Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080. Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker. Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna. | ||
10 | Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy. | ||
11 | Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato
|
Flusso attività distribuzione sicurezza dati ibridi
Operazioni preliminari
1 |
Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente. | ||
2 | Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi. | ||
3 | Installazione del file OVA organizzatore HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.
| ||
4 | Impostazione della sicurezza dei dati ibridi VM Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA. | ||
5 | Caricamento e montaggio della configurazione HDS ISO Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS. | ||
6 | Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario. | ||
7 | Registrazione del primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi. | ||
8 | Creazione e registrazione di altri nodi Completare l'impostazione del cluster. | ||
9 | Eseguire una versione di prova e passare alla produzione (capitolo successivo) Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato. |
Scarica file di installazione
1 | Accedere a https://admin.webex.com, quindi fare clic su Servizi. | ||||
2 | Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.
| ||||
3 | Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti. Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
| ||||
4 | Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida. |
Creazione di un ISO di configurazione per gli host HDS
Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:
Credenziali del database
Aggiornamenti dei certificati
Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.
1 | Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
2 | Per accedere al registro immagini Docker, immettere quanto segue:
| ||||||||||||
3 | Alla richiesta della password, immettere questo hash:
| ||||||||||||
4 | Scaricare l'immagine stabile più recente per il proprio ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
5 | Al termine del pull, immettere il comando appropriato per l'ambiente:
Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080". | ||||||||||||
6 |
Utilizzare un browser Web per passare all'host locale, Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard. | ||||||||||||
7 | Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi. | ||||||||||||
8 | Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione. | ||||||||||||
9 | Nella pagina Importazione ISO sono disponibili le seguenti opzioni:
| ||||||||||||
10 | Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.
| ||||||||||||
11 | Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave: | ||||||||||||
12 | Selezionare una modalità di connessione al database TLS:
Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente. | ||||||||||||
13 | Nella pagina Registri di sistema, configurare il server Syslogd: | ||||||||||||
14 | (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:
| ||||||||||||
15 | Fare clic su Continua nella schermata Reimposta password account di servizio. Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti. | ||||||||||||
16 | Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare. | ||||||||||||
17 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||||||||||||
18 | Per chiudere lo strumento di installazione, digitare |
Operazioni successive
Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.
Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi. |
Installazione del file OVA organizzatore HDS
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi. | ||||||
2 | Selezionare File > Distribuisci modello OVF. | ||||||
3 | Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo. | ||||||
4 | Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo. | ||||||
5 | Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello. | ||||||
6 | Verificare i dettagli del modello, quindi fare clic su Avanti. | ||||||
7 | Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo. | ||||||
8 | Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM. | ||||||
9 | Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM. | ||||||
10 | Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:
Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.
| ||||||
11 | Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere .Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere. |
Impostazione della sicurezza dei dati ibridi VM
Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
1 | Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console. La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
|
2 | Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite: Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore. |
3 | Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione. |
4 | Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. |
5 | (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete. Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509. |
6 | Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto. |
Caricamento e montaggio della configurazione HDS ISO
Operazioni preliminari
Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.
1 | Caricare il file ISO dal computer: |
2 | Montare il file ISO: |
Operazioni successive
Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
1 | Inserisci l'URL di impostazione del nodo HDS |
2 | Vai su Trust Store & Proxy, quindi scegli un'opzione:
Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS. |
3 | Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file. |
4 | Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata. |
5 | Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto. |
6 | Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti. Il nodo si riavvia entro pochi minuti. |
7 | Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy. |
Registrazione del primo nodo nel cluster
Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Accedere a https://admin.webex.com. |
2 | Dal menu sul lato sinistro della schermata, selezionare Servizi. |
3 | Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta. Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
|
4 | Seleziona Sì per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti. |
5 | Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas" |
6 | Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
|
7 | Fare clic su Vai a nodo. |
8 | Fare clic su Continua nel messaggio di avviso. Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
|
9 | Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua. L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
|
10 | Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub. Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.
|
Creazione e registrazione di altri nodi
In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby. |
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS. |
2 | Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM. |
3 | Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO. |
4 | Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo. |
5 | Registrare il nodo. Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.
|
Operazioni successive
Flusso attività da prova a produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 | Se applicabile, sincronizzare il Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare |
2 |
Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato. |
3 | Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
4 | Monitoraggio della salute della sicurezza dei dati ibridi Controllare lo stato e impostare notifiche e-mail per gli allarmi. |
5 | |
6 | Completare la fase trial con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup
raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.
1 | Accedere a https://admin.webex.com, quindi selezionare Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 | Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
Impostare la distribuzione di sicurezza dei dati ibridi.
Attivare la versione di prova e aggiungere diversi utenti di prova.
Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.
1 | Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.
| ||
2 | Invia messaggi al nuovo spazio. | ||
3 | Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
Monitoraggio della salute della sicurezza dei dati ibridi
1 | In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 | Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni). Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
|
3 | Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 | Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva . |
Passa da versione di prova a produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione). |
4 | Confermare che si desidera spostare tutti gli utenti in produzione. |
Terminare la prova senza passare alla produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Disattiva fare clic su Disattiva. |
4 | Confermare che si desidera disattivare il servizio e terminare la prova. |
Gestione della distribuzione HDS
Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 | Accedere a Control Hub. |
2 | Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 | Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster. |
4 | Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 | Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
Modifica dei certificati x.509 a causa di una scadenza o altri motivi.
Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.
Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:
Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.
Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.
Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.
1 | Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 | Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi. |
3 | Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo: |
4 | Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattivazione della modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 | In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 | Andare a Overview (pagina predefinita). Quando abilitata, Risoluzione DNS esterno bloccato è impostato su Sì . |
3 | Andare alla pagina Archivio attendibilità e proxy. |
4 | Fare clic su Verifica connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimozione di un nodo
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 | Rimuovi il nodo: |
3 | Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina). Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.
Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS. | ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
(Opzionale) Smontaggio ISO dopo configurazione HDS
La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.
Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.
Operazioni preliminari
Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 | Chiudere uno dei nodi HDS. |
2 | Nella vCenter Server Appliance, selezionare il nodo HDS. |
3 | Scegli Datastore ISO File. e deseleziona |
4 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 | Ripetere per ciascun nodo HDS a sua volta. |
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
I titoli dei messaggi e dello spazio non vengono decrittografati per:
Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso | Azione |
---|---|
Errore di accesso al database locale. |
Verificare la presenza di errori nel database o problemi di rete locale. |
Errore di connessione al database locale. |
Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna. |
Rinnovo della registrazione del servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso. |
Registrazione servizio cloud interrotta. |
La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto. |
Servizio non ancora attivato. |
Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale. |
Impossibile eseguire l'autenticazione ai servizi cloud. |
Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password nel file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso alla rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 | Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi. |
2 | Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security. |
3 | Contatta il supporto Cisco. |
Problemi noti per la sicurezza dei dati ibridi
Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.
Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).
Uso di OpenSSL per generare un file PKCS12
Operazioni preliminari
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.
Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).
1 | Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come |
2 | Visualizzare il certificato come testo e verificare i dettagli.
|
3 | Utilizzare un editor di testo per creare un file di bundle di certificati denominato
|
4 | Creare il file .p12 con il nome amichevole
|
5 | Controllare i dettagli del certificato del server. |
Operazioni successive
Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12
file e la password impostata, in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale. |
Traffico tra i nodi HDS e il cloud
Traffico incasso metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
Richieste di crittografia da client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
Websocket non può connettersi tramite proxy Squid
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:
) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss:
traffico per il corretto funzionamento dei servizi.
Calamaro 4 e 5
Aggiungi il on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tunnel all
Calamaro 3.5.27
Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf
. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informazioni nuove e modificate
Data | Modifiche apportate | ||
---|---|---|---|
20 ottobre 2023 |
| ||
7 agosto 2023 |
| ||
23 maggio 2023 |
| ||
6 dicembre 2022 |
| ||
23 novembre 2022 |
| ||
13 ottobre 2021 | Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker. | ||
24 giugno 2021 | Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12. | ||
30 aprile 2021 | Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale. | ||
24 febbraio 2021 | Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS. | ||
2 febbraio 2021 | HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS. | ||
11 gennaio 2021 | Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. | ||
13 ottobre 2020 | Aggiornato Scarica file di installazione. | ||
8 ottobre 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. | ||
14 agosto 2020 | Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso. | ||
5 agosto 2020 | Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro. Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori. | ||
16 giugno 2020 | Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. | ||
4 giugno 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare. | ||
29 maggio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti. | ||
5 maggio 2020 | Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5. | ||
21 aprile 2020 | Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas. | ||
1° aprile 2020 | Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali. | ||
20 febbraio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS. | ||
4 febbraio 2020 | Aggiornati i requisiti del server proxy. | ||
16 dicembre 2019 | Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. | ||
19 novembre 2019 | Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: | ||
8 novembre 2019 | Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Aggiornate di conseguenza le seguenti sezioni:
| ||
6 settembre 2019 | Aggiunto SQL Server Standard ai requisiti del server database. | ||
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto. | ||
20 agosto 2019 | Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex. | ||
13 giugno 2019 | Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche. | ||
6 marzo 2019 |
| ||
28 febbraio 2019 |
| ||
26 febbraio 2019 |
| ||
24 gennaio 2019 |
| ||
5 novembre 2018 |
| ||
giovedì 19 ottobre 2018 |
| ||
31 luglio 2018 |
| ||
21 maggio 2018 | Terminologia modificata per riflettere il rebranding di Cisco Spark:
| ||
11 aprile 2018 |
| ||
22 febbraio 2018 |
| ||
15 febbraio 2018 |
| ||
18 gennaio 2018 |
| ||
2 novembre 2017 |
| ||
18 agosto 2017 | Prima pubblicazione |
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.
Architettura dell'area di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.
Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
le apparecchiature, il software e l'accesso alla rete descritti in Prepare Your Environment (Prepara il tuo ambiente).
La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:
Gestire il backup e il ripristino del database e della configurazione ISO.
Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.
Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS. |
Processo di impostazione di alto livello
Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:
Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.
Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.
Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.
Modello di distribuzione di sicurezza dei dati ibridi
All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova della sicurezza dei dati ibridi
Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.
Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".
Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati standby per ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.
I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo. |
Imposta centro dati standby per ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).
Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.
| ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
Dopo la configurazione passiveMode
nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode
configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode
configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:
Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
HTTP: visualizza e controlla tutte le richieste inviate dal client.
HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.
Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:
Nessuno: non è richiesta alcuna ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.
Requisiti per la sicurezza dei dati ibridi
Requisiti della licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti desktop docker
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".
Requisiti di certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito | Dettagli |
---|---|
| Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
| Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, Il CN non deve contenere un * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione. |
| Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
| È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti organizzatore virtuale
Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:
Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro
VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server
Requisiti server database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database. |
Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) | Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:
PostgreSQL | Server Microsoft SQL |
---|---|
Driver Postgres JDBC 42.2.5 | Driver JDBC server SQL 4.6 Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On). |
Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.
Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:
Applicazione | Protocol | Porta | Direzione dall'app | Destinazione |
---|---|---|---|---|
Nodi di sicurezza dati ibridi | TCP | 443 | HTTPS e WSS in uscita |
|
Strumento di impostazione HDS | TCP | 443 | HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi. |
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione | URL host identità comune |
---|---|
Americhe |
|
Unione Europea |
|
Canada |
|
Requisiti server proxy
Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.
Proxy trasparente: Cisco Web Security Appliance (WSA).
Proxy esplicito: Squid.
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket (wss:) connessioni. Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
Nessuna autenticazione con HTTP o HTTPS
Autenticazione di base con HTTP o HTTPS
Autenticazione del digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.
È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso
wbx2.com
eciscospark.com
risolverà il problema.
Completamento dei prerequisiti per la sicurezza dei dati ibridi
1 | Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo. | ||
2 | Scegliere un nome di dominio per la distribuzione HDS (ad esempio, | ||
3 | Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale. | ||
4 | Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. | ||
5 | Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. | ||
6 | Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514). | ||
7 | Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.
I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico. | ||
8 | Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna. | ||
9 | Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080. Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker. Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna. | ||
10 | Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy. | ||
11 | Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato
|
Flusso attività distribuzione sicurezza dati ibridi
Operazioni preliminari
1 |
Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente. | ||
2 | Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi. | ||
3 | Installazione del file OVA organizzatore HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.
| ||
4 | Impostazione della sicurezza dei dati ibridi VM Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA. | ||
5 | Caricamento e montaggio della configurazione HDS ISO Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS. | ||
6 | Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario. | ||
7 | Registrazione del primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi. | ||
8 | Creazione e registrazione di altri nodi Completare l'impostazione del cluster. | ||
9 | Eseguire una versione di prova e passare alla produzione (capitolo successivo) Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato. |
Scarica file di installazione
1 | Accedere a https://admin.webex.com, quindi fare clic su Servizi. | ||||
2 | Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.
| ||||
3 | Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti. Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
| ||||
4 | Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida. |
Creazione di un ISO di configurazione per gli host HDS
Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:
Credenziali del database
Aggiornamenti dei certificati
Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.
1 | Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
2 | Per accedere al registro immagini Docker, immettere quanto segue:
| ||||||||||||
3 | Alla richiesta della password, immettere questo hash:
| ||||||||||||
4 | Scaricare l'immagine stabile più recente per il proprio ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
5 | Al termine del pull, immettere il comando appropriato per l'ambiente:
Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080". | ||||||||||||
6 |
Utilizzare un browser Web per passare all'host locale, Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard. | ||||||||||||
7 | Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi. | ||||||||||||
8 | Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione. | ||||||||||||
9 | Nella pagina Importazione ISO sono disponibili le seguenti opzioni:
| ||||||||||||
10 | Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.
| ||||||||||||
11 | Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave: | ||||||||||||
12 | Selezionare una modalità di connessione al database TLS:
Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente. | ||||||||||||
13 | Nella pagina Registri di sistema, configurare il server Syslogd: | ||||||||||||
14 | (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:
| ||||||||||||
15 | Fare clic su Continua nella schermata Reimposta password account di servizio. Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti. | ||||||||||||
16 | Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare. | ||||||||||||
17 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||||||||||||
18 | Per chiudere lo strumento di installazione, digitare |
Operazioni successive
Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.
Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi. |
Installazione del file OVA organizzatore HDS
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi. | ||||||
2 | Selezionare File > Distribuisci modello OVF. | ||||||
3 | Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo. | ||||||
4 | Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo. | ||||||
5 | Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello. | ||||||
6 | Verificare i dettagli del modello, quindi fare clic su Avanti. | ||||||
7 | Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo. | ||||||
8 | Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM. | ||||||
9 | Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM. | ||||||
10 | Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:
Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.
| ||||||
11 | Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere .Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere. |
Impostazione della sicurezza dei dati ibridi VM
Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
1 | Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console. La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
|
2 | Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite: Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore. |
3 | Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione. |
4 | Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. |
5 | (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete. Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509. |
6 | Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto. |
Caricamento e montaggio della configurazione HDS ISO
Operazioni preliminari
Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.
1 | Caricare il file ISO dal computer: |
2 | Montare il file ISO: |
Operazioni successive
Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
1 | Inserisci l'URL di impostazione del nodo HDS |
2 | Vai su Trust Store & Proxy, quindi scegli un'opzione:
Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS. |
3 | Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file. |
4 | Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata. |
5 | Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto. |
6 | Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti. Il nodo si riavvia entro pochi minuti. |
7 | Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy. |
Registrazione del primo nodo nel cluster
Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Accedere a https://admin.webex.com. |
2 | Dal menu sul lato sinistro della schermata, selezionare Servizi. |
3 | Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta. Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
|
4 | Seleziona Sì per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti. |
5 | Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas" |
6 | Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
|
7 | Fare clic su Vai a nodo. |
8 | Fare clic su Continua nel messaggio di avviso. Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
|
9 | Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua. L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
|
10 | Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub. Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.
|
Creazione e registrazione di altri nodi
In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby. |
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS. |
2 | Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM. |
3 | Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO. |
4 | Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo. |
5 | Registrare il nodo. Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.
|
Operazioni successive
Flusso attività da prova a produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 | Se applicabile, sincronizzare il Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare |
2 |
Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato. |
3 | Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
4 | Monitoraggio della salute della sicurezza dei dati ibridi Controllare lo stato e impostare notifiche e-mail per gli allarmi. |
5 | |
6 | Completare la fase trial con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup
raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.
1 | Accedere a https://admin.webex.com, quindi selezionare Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 | Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
Impostare la distribuzione di sicurezza dei dati ibridi.
Attivare la versione di prova e aggiungere diversi utenti di prova.
Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.
1 | Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.
| ||
2 | Invia messaggi al nuovo spazio. | ||
3 | Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
Monitoraggio della salute della sicurezza dei dati ibridi
1 | In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 | Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni). Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
|
3 | Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 | Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva . |
Passa da versione di prova a produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione). |
4 | Confermare che si desidera spostare tutti gli utenti in produzione. |
Terminare la prova senza passare alla produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Disattiva fare clic su Disattiva. |
4 | Confermare che si desidera disattivare il servizio e terminare la prova. |
Gestione della distribuzione HDS
Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 | Accedere a Control Hub. |
2 | Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 | Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster. |
4 | Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 | Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
Modifica dei certificati x.509 a causa di una scadenza o altri motivi.
Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.
Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:
Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.
Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.
Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.
1 | Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 | Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi. |
3 | Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo: |
4 | Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattivazione della modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 | In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 | Andare a Overview (pagina predefinita). Quando abilitata, Risoluzione DNS esterno bloccato è impostato su Sì . |
3 | Andare alla pagina Archivio attendibilità e proxy. |
4 | Fare clic su Verifica connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimozione di un nodo
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 | Rimuovi il nodo: |
3 | Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina). Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.
Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS. | ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
(Opzionale) Smontaggio ISO dopo configurazione HDS
La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.
Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.
Operazioni preliminari
Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 | Chiudere uno dei nodi HDS. |
2 | Nella vCenter Server Appliance, selezionare il nodo HDS. |
3 | Scegli Datastore ISO File. e deseleziona |
4 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 | Ripetere per ciascun nodo HDS a sua volta. |
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
I titoli dei messaggi e dello spazio non vengono decrittografati per:
Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso | Azione |
---|---|
Errore di accesso al database locale. |
Verificare la presenza di errori nel database o problemi di rete locale. |
Errore di connessione al database locale. |
Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna. |
Rinnovo della registrazione del servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso. |
Registrazione servizio cloud interrotta. |
La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto. |
Servizio non ancora attivato. |
Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale. |
Impossibile eseguire l'autenticazione ai servizi cloud. |
Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password nel file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso alla rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 | Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi. |
2 | Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security. |
3 | Contatta il supporto Cisco. |
Problemi noti per la sicurezza dei dati ibridi
Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.
Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).
Uso di OpenSSL per generare un file PKCS12
Operazioni preliminari
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.
Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).
1 | Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come |
2 | Visualizzare il certificato come testo e verificare i dettagli.
|
3 | Utilizzare un editor di testo per creare un file di bundle di certificati denominato
|
4 | Creare il file .p12 con il nome amichevole
|
5 | Controllare i dettagli del certificato del server. |
Operazioni successive
Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12
file e la password impostata, in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale. |
Traffico tra i nodi HDS e il cloud
Traffico incasso metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
Richieste di crittografia da client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
Websocket non può connettersi tramite proxy Squid
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:
) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss:
traffico per il corretto funzionamento dei servizi.
Calamaro 4 e 5
Aggiungi il on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tunnel all
Calamaro 3.5.27
Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf
. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informazioni nuove e modificate
Data | Modifiche apportate | ||
---|---|---|---|
20 ottobre 2023 |
| ||
7 agosto 2023 |
| ||
23 maggio 2023 |
| ||
6 dicembre 2022 |
| ||
23 novembre 2022 |
| ||
13 ottobre 2021 | Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker. | ||
24 giugno 2021 | Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12. | ||
30 aprile 2021 | Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale. | ||
24 febbraio 2021 | Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS. | ||
2 febbraio 2021 | HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS. | ||
11 gennaio 2021 | Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. | ||
13 ottobre 2020 | Aggiornato Scarica file di installazione. | ||
8 ottobre 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. | ||
14 agosto 2020 | Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso. | ||
5 agosto 2020 | Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro. Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori. | ||
16 giugno 2020 | Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. | ||
4 giugno 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare. | ||
29 maggio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti. | ||
5 maggio 2020 | Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5. | ||
21 aprile 2020 | Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas. | ||
1° aprile 2020 | Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali. | ||
20 febbraio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS. | ||
4 febbraio 2020 | Aggiornati i requisiti del server proxy. | ||
16 dicembre 2019 | Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. | ||
19 novembre 2019 | Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: | ||
8 novembre 2019 | Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Aggiornate di conseguenza le seguenti sezioni:
| ||
6 settembre 2019 | Aggiunto SQL Server Standard ai requisiti del server database. | ||
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto. | ||
20 agosto 2019 | Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex. | ||
13 giugno 2019 | Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche. | ||
6 marzo 2019 |
| ||
28 febbraio 2019 |
| ||
26 febbraio 2019 |
| ||
24 gennaio 2019 |
| ||
5 novembre 2018 |
| ||
giovedì 19 ottobre 2018 |
| ||
31 luglio 2018 |
| ||
21 maggio 2018 | Terminologia modificata per riflettere il rebranding di Cisco Spark:
| ||
11 aprile 2018 |
| ||
22 febbraio 2018 |
| ||
15 febbraio 2018 |
| ||
18 gennaio 2018 |
| ||
2 novembre 2017 |
| ||
18 agosto 2017 | Prima pubblicazione |
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.
Architettura dell'area di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.
Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
le apparecchiature, il software e l'accesso alla rete descritti in Prepare Your Environment (Prepara il tuo ambiente).
La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:
Gestire il backup e il ripristino del database e della configurazione ISO.
Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.
Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS. |
Processo di impostazione di alto livello
Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:
Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.
Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.
Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.
Modello di distribuzione di sicurezza dei dati ibridi
All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova della sicurezza dei dati ibridi
Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.
Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".
Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati standby per ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.
I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo. |
Imposta centro dati standby per ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).
Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.
| ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
Dopo la configurazione passiveMode
nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode
configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode
configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:
Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
HTTP: visualizza e controlla tutte le richieste inviate dal client.
HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.
Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:
Nessuno: non è richiesta alcuna ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.
Requisiti per la sicurezza dei dati ibridi
Requisiti della licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti desktop docker
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".
Requisiti di certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito | Dettagli |
---|---|
| Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
| Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, Il CN non deve contenere un * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione. |
| Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
| È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti organizzatore virtuale
Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:
Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro
VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server
Requisiti server database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database. |
Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) | Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:
PostgreSQL | Server Microsoft SQL |
---|---|
Driver Postgres JDBC 42.2.5 | Driver JDBC server SQL 4.6 Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On). |
Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.
Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:
Applicazione | Protocol | Porta | Direzione dall'app | Destinazione |
---|---|---|---|---|
Nodi di sicurezza dati ibridi | TCP | 443 | HTTPS e WSS in uscita |
|
Strumento di impostazione HDS | TCP | 443 | HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi. |
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione | URL host identità comune |
---|---|
Americhe |
|
Unione Europea |
|
Canada |
|
Requisiti server proxy
Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.
Proxy trasparente: Cisco Web Security Appliance (WSA).
Proxy esplicito: Squid.
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket (wss:) connessioni. Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
Nessuna autenticazione con HTTP o HTTPS
Autenticazione di base con HTTP o HTTPS
Autenticazione del digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.
È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso
wbx2.com
eciscospark.com
risolverà il problema.
Completamento dei prerequisiti per la sicurezza dei dati ibridi
1 | Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo. | ||
2 | Scegliere un nome di dominio per la distribuzione HDS (ad esempio, | ||
3 | Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale. | ||
4 | Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. | ||
5 | Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. | ||
6 | Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514). | ||
7 | Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.
I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico. | ||
8 | Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna. | ||
9 | Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080. Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker. Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna. | ||
10 | Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy. | ||
11 | Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato
|
Flusso attività distribuzione sicurezza dati ibridi
Operazioni preliminari
1 |
Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente. | ||
2 | Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi. | ||
3 | Installazione del file OVA organizzatore HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.
| ||
4 | Impostazione della sicurezza dei dati ibridi VM Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA. | ||
5 | Caricamento e montaggio della configurazione HDS ISO Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS. | ||
6 | Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario. | ||
7 | Registrazione del primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi. | ||
8 | Creazione e registrazione di altri nodi Completare l'impostazione del cluster. | ||
9 | Eseguire una versione di prova e passare alla produzione (capitolo successivo) Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato. |
Scarica file di installazione
1 | Accedere a https://admin.webex.com, quindi fare clic su Servizi. | ||||
2 | Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.
| ||||
3 | Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti. Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
| ||||
4 | Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida. |
Creazione di un ISO di configurazione per gli host HDS
Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:
Credenziali del database
Aggiornamenti dei certificati
Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.
1 | Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
2 | Per accedere al registro immagini Docker, immettere quanto segue:
| ||||||||||||
3 | Alla richiesta della password, immettere questo hash:
| ||||||||||||
4 | Scaricare l'immagine stabile più recente per il proprio ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
5 | Al termine del pull, immettere il comando appropriato per l'ambiente:
Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080". | ||||||||||||
6 |
Utilizzare un browser Web per passare all'host locale, Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard. | ||||||||||||
7 | Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi. | ||||||||||||
8 | Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione. | ||||||||||||
9 | Nella pagina Importazione ISO sono disponibili le seguenti opzioni:
| ||||||||||||
10 | Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.
| ||||||||||||
11 | Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave: | ||||||||||||
12 | Selezionare una modalità di connessione al database TLS:
Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente. | ||||||||||||
13 | Nella pagina Registri di sistema, configurare il server Syslogd: | ||||||||||||
14 | (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:
| ||||||||||||
15 | Fare clic su Continua nella schermata Reimposta password account di servizio. Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti. | ||||||||||||
16 | Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare. | ||||||||||||
17 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||||||||||||
18 | Per chiudere lo strumento di installazione, digitare |
Operazioni successive
Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.
Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi. |
Installazione del file OVA organizzatore HDS
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi. | ||||||
2 | Selezionare File > Distribuisci modello OVF. | ||||||
3 | Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo. | ||||||
4 | Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo. | ||||||
5 | Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello. | ||||||
6 | Verificare i dettagli del modello, quindi fare clic su Avanti. | ||||||
7 | Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo. | ||||||
8 | Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM. | ||||||
9 | Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM. | ||||||
10 | Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:
Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.
| ||||||
11 | Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere .Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere. |
Impostazione della sicurezza dei dati ibridi VM
Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
1 | Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console. La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
|
2 | Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite: Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore. |
3 | Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione. |
4 | Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. |
5 | (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete. Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509. |
6 | Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto. |
Caricamento e montaggio della configurazione HDS ISO
Operazioni preliminari
Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.
1 | Caricare il file ISO dal computer: |
2 | Montare il file ISO: |
Operazioni successive
Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
1 | Inserisci l'URL di impostazione del nodo HDS |
2 | Vai su Trust Store & Proxy, quindi scegli un'opzione:
Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS. |
3 | Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file. |
4 | Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata. |
5 | Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto. |
6 | Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti. Il nodo si riavvia entro pochi minuti. |
7 | Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy. |
Registrazione del primo nodo nel cluster
Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Accedere a https://admin.webex.com. |
2 | Dal menu sul lato sinistro della schermata, selezionare Servizi. |
3 | Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta. Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
|
4 | Seleziona Sì per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti. |
5 | Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas" |
6 | Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
|
7 | Fare clic su Vai a nodo. |
8 | Fare clic su Continua nel messaggio di avviso. Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
|
9 | Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua. L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
|
10 | Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub. Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.
|
Creazione e registrazione di altri nodi
In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby. |
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS. |
2 | Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM. |
3 | Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO. |
4 | Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo. |
5 | Registrare il nodo. Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.
|
Operazioni successive
Flusso attività da prova a produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 | Se applicabile, sincronizzare il Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare |
2 |
Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato. |
3 | Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
4 | Monitoraggio della salute della sicurezza dei dati ibridi Controllare lo stato e impostare notifiche e-mail per gli allarmi. |
5 | |
6 | Completare la fase trial con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup
raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.
1 | Accedere a https://admin.webex.com, quindi selezionare Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 | Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
Impostare la distribuzione di sicurezza dei dati ibridi.
Attivare la versione di prova e aggiungere diversi utenti di prova.
Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.
1 | Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.
| ||
2 | Invia messaggi al nuovo spazio. | ||
3 | Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
Monitoraggio della salute della sicurezza dei dati ibridi
1 | In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 | Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni). Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
|
3 | Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 | Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva . |
Passa da versione di prova a produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione). |
4 | Confermare che si desidera spostare tutti gli utenti in produzione. |
Terminare la prova senza passare alla produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Disattiva fare clic su Disattiva. |
4 | Confermare che si desidera disattivare il servizio e terminare la prova. |
Gestione della distribuzione HDS
Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 | Accedere a Control Hub. |
2 | Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 | Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster. |
4 | Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 | Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
Modifica dei certificati x.509 a causa di una scadenza o altri motivi.
Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.
Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:
Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.
Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.
Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.
1 | Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 | Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi. |
3 | Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo: |
4 | Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattivazione della modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 | In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 | Andare a Overview (pagina predefinita). Quando abilitata, Risoluzione DNS esterno bloccato è impostato su Sì . |
3 | Andare alla pagina Archivio attendibilità e proxy. |
4 | Fare clic su Verifica connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimozione di un nodo
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 | Rimuovi il nodo: |
3 | Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina). Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.
Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS. | ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
(Opzionale) Smontaggio ISO dopo configurazione HDS
La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.
Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.
Operazioni preliminari
Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 | Chiudere uno dei nodi HDS. |
2 | Nella vCenter Server Appliance, selezionare il nodo HDS. |
3 | Scegli Datastore ISO File. e deseleziona |
4 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 | Ripetere per ciascun nodo HDS a sua volta. |
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
I titoli dei messaggi e dello spazio non vengono decrittografati per:
Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso | Azione |
---|---|
Errore di accesso al database locale. |
Verificare la presenza di errori nel database o problemi di rete locale. |
Errore di connessione al database locale. |
Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna. |
Rinnovo della registrazione del servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso. |
Registrazione servizio cloud interrotta. |
La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto. |
Servizio non ancora attivato. |
Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale. |
Impossibile eseguire l'autenticazione ai servizi cloud. |
Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password nel file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso alla rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 | Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi. |
2 | Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security. |
3 | Contatta il supporto Cisco. |
Problemi noti per la sicurezza dei dati ibridi
Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.
Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).
Uso di OpenSSL per generare un file PKCS12
Operazioni preliminari
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.
Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).
1 | Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come |
2 | Visualizzare il certificato come testo e verificare i dettagli.
|
3 | Utilizzare un editor di testo per creare un file di bundle di certificati denominato
|
4 | Creare il file .p12 con il nome amichevole
|
5 | Controllare i dettagli del certificato del server. |
Operazioni successive
Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12
file e la password impostata, in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale. |
Traffico tra i nodi HDS e il cloud
Traffico incasso metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
Richieste di crittografia da client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
Websocket non può connettersi tramite proxy Squid
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:
) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss:
traffico per il corretto funzionamento dei servizi.
Calamaro 4 e 5
Aggiungi il on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tunnel all
Calamaro 3.5.27
Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf
. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informazioni nuove e modificate
Data | Modifiche apportate | ||
---|---|---|---|
20 ottobre 2023 |
| ||
7 agosto 2023 |
| ||
23 maggio 2023 |
| ||
6 dicembre 2022 |
| ||
23 novembre 2022 |
| ||
13 ottobre 2021 | Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker. | ||
24 giugno 2021 | Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12. | ||
30 aprile 2021 | Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale. | ||
24 febbraio 2021 | Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS. | ||
2 febbraio 2021 | HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS. | ||
11 gennaio 2021 | Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. | ||
13 ottobre 2020 | Aggiornato Scarica file di installazione. | ||
8 ottobre 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. | ||
14 agosto 2020 | Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso. | ||
5 agosto 2020 | Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro. Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori. | ||
16 giugno 2020 | Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. | ||
4 giugno 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare. | ||
29 maggio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti. | ||
5 maggio 2020 | Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5. | ||
21 aprile 2020 | Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas. | ||
1° aprile 2020 | Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali. | ||
20 febbraio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS. | ||
4 febbraio 2020 | Aggiornati i requisiti del server proxy. | ||
16 dicembre 2019 | Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. | ||
19 novembre 2019 | Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: | ||
8 novembre 2019 | Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Aggiornate di conseguenza le seguenti sezioni:
| ||
6 settembre 2019 | Aggiunto SQL Server Standard ai requisiti del server database. | ||
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto. | ||
20 agosto 2019 | Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex. | ||
13 giugno 2019 | Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche. | ||
6 marzo 2019 |
| ||
28 febbraio 2019 |
| ||
26 febbraio 2019 |
| ||
24 gennaio 2019 |
| ||
5 novembre 2018 |
| ||
giovedì 19 ottobre 2018 |
| ||
31 luglio 2018 |
| ||
21 maggio 2018 | Terminologia modificata per riflettere il rebranding di Cisco Spark:
| ||
11 aprile 2018 |
| ||
22 febbraio 2018 |
| ||
15 febbraio 2018 |
| ||
18 gennaio 2018 |
| ||
2 novembre 2017 |
| ||
18 agosto 2017 | Prima pubblicazione |
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La pietra angolare di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare in modo dinamico messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta il KMS e altre funzioni correlate alla sicurezza nel centro dati aziendali , in modo che nessuno tranne l'utente possieda le chiavi del contenuto crittografato.
Architettura dell'area di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.
Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
le apparecchiature, il software e l'accesso alla rete descritti in Prepare Your Environment (Prepara il tuo ambiente).
La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:
Gestire il backup e il ripristino del database e della configurazione ISO.
Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.
Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS. |
Processo di impostazione di alto livello
Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:
Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.
Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.
Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.
Modello di distribuzione di sicurezza dei dati ibridi
All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova della sicurezza dei dati ibridi
Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.
Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".
Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati standby per ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.
I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo. |
Imposta centro dati standby per ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).
Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.
| ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
Dopo la configurazione passiveMode
nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode
configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode
configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostare il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:
Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
HTTP: visualizza e controlla tutte le richieste inviate dal client.
HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.
Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:
Nessuno: non è richiesta alcuna ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.
Requisiti per la sicurezza dei dati ibridi
Requisiti della licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti desktop docker
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per informazioni dettagliate, vedi il post di blog Docker, " Docker sta aggiornando ed estendendo gli abbonamenti dei prodotti ".
Requisiti di certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito | Dettagli |
---|---|
| Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
| Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, Il CN non deve contenere un * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione. |
| Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
| È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti organizzatore virtuale
Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:
Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro
VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server
Requisiti server database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database. |
Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) | Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:
PostgreSQL | Server Microsoft SQL |
---|---|
Driver Postgres JDBC 42.2.5 | Driver JDBC server SQL 4.6 Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On). |
Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.
Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:
Applicazione | Protocol | Porta | Direzione dall'app | Destinazione |
---|---|---|---|---|
Nodi di sicurezza dati ibridi | TCP | 443 | HTTPS e WSS in uscita |
|
Strumento di impostazione HDS | TCP | 443 | HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi. |
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione | URL host identità comune |
---|---|
Americhe |
|
Unione Europea |
|
Canada |
|
Requisiti server proxy
Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.
Proxy trasparente: Cisco Web Security Appliance (WSA).
Proxy esplicito: Squid.
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket (wss:) connessioni. Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
Nessuna autenticazione con HTTP o HTTPS
Autenticazione di base con HTTP o HTTPS
Autenticazione del digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.
È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni dei socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso
wbx2.com
eciscospark.com
risolverà il problema.
Completamento dei prerequisiti per la sicurezza dei dati ibridi
1 | Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo. | ||
2 | Scegliere un nome di dominio per la distribuzione HDS (ad esempio, | ||
3 | Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale. | ||
4 | Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. | ||
5 | Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. | ||
6 | Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514). | ||
7 | Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.
I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico. | ||
8 | Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna. | ||
9 | Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080. Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker. Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna. | ||
10 | Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy. | ||
11 | Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato
|
Flusso attività distribuzione sicurezza dati ibridi
Operazioni preliminari
1 |
Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente. | ||
2 | Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi. | ||
3 | Installazione del file OVA organizzatore HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.
| ||
4 | Impostazione della sicurezza dei dati ibridi VM Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA. | ||
5 | Caricamento e montaggio della configurazione HDS ISO Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS. | ||
6 | Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario. | ||
7 | Registrazione del primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi. | ||
8 | Creazione e registrazione di altri nodi Completare l'impostazione del cluster. | ||
9 | Eseguire una versione di prova e passare alla produzione (capitolo successivo) Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato. |
Scarica file di installazione
1 | Accedere a https://admin.webex.com, quindi fare clic su Servizi. | ||||
2 | Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.
| ||||
3 | Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti. Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
| ||||
4 | Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida. |
Creazione di un ISO di configurazione per gli host HDS
Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:
Credenziali del database
Aggiornamenti dei certificati
Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.
1 | Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
2 | Per accedere al registro immagini Docker, immettere quanto segue:
| ||||||||||||
3 | Alla richiesta della password, immettere questo hash:
| ||||||||||||
4 | Scaricare l'immagine stabile più recente per il proprio ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
5 | Al termine del pull, immettere il comando appropriato per l'ambiente:
Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080". | ||||||||||||
6 |
Utilizzare un browser Web per passare all'host locale, Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard. | ||||||||||||
7 | Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi. | ||||||||||||
8 | Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione. | ||||||||||||
9 | Nella pagina Importazione ISO sono disponibili le seguenti opzioni:
| ||||||||||||
10 | Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.
| ||||||||||||
11 | Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave: | ||||||||||||
12 | Selezionare una modalità di connessione al database TLS:
Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non viene superato, lo strumento visualizza un messaggio di errore descrive il problema. È possibile scegliere di ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente. | ||||||||||||
13 | Nella pagina Registri di sistema, configurare il server Syslogd: | ||||||||||||
14 | (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:
| ||||||||||||
15 | Fare clic su Continua nella schermata Reimposta password account di servizio. Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti. | ||||||||||||
16 | Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare. | ||||||||||||
17 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||||||||||||
18 | Per chiudere lo strumento di installazione, digitare |
Operazioni successive
Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.
Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi. |
Installazione del file OVA organizzatore HDS
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi. | ||||||
2 | Selezionare File > Distribuisci modello OVF. | ||||||
3 | Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo. | ||||||
4 | Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo. | ||||||
5 | Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello. | ||||||
6 | Verificare i dettagli del modello, quindi fare clic su Avanti. | ||||||
7 | Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo. | ||||||
8 | Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM. | ||||||
9 | Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM. | ||||||
10 | Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:
Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.
| ||||||
11 | Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere .Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere. |
Impostazione della sicurezza dei dati ibridi VM
Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
1 | Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console. La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
|
2 | Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite: Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore. |
3 | Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione. |
4 | Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. |
5 | (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete. Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509. |
6 | Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto. |
Caricamento e montaggio della configurazione HDS ISO
Operazioni preliminari
Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.
1 | Caricare il file ISO dal computer: |
2 | Montare il file ISO: |
Operazioni successive
Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
1 | Inserisci l'URL di impostazione del nodo HDS |
2 | Vai su Trust Store & Proxy, quindi scegli un'opzione:
Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS. |
3 | Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file. |
4 | Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata. |
5 | Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto. |
6 | Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti. Il nodo si riavvia entro pochi minuti. |
7 | Una volta riavviato il nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. Se si verificano problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy. |
Registrazione del primo nodo nel cluster
Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Accedere a https://admin.webex.com. |
2 | Dal menu sul lato sinistro della schermata, selezionare Servizi. |
3 | Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta. Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
|
4 | Seleziona Sì per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti. |
5 | Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas" |
6 | Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
|
7 | Fare clic su Vai a nodo. |
8 | Fare clic su Continua nel messaggio di avviso. Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
|
9 | Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua. L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
|
10 | Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub. Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.
|
Creazione e registrazione di altri nodi
In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby. |
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS. |
2 | Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM. |
3 | Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO. |
4 | Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo. |
5 | Registrare il nodo. Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.
|
Operazioni successive
Flusso attività da prova a produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 | Se applicabile, sincronizzare il Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare |
2 |
Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato. |
3 | Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
4 | Monitoraggio della salute della sicurezza dei dati ibridi Controllare lo stato e impostare notifiche e-mail per gli allarmi. |
5 | |
6 | Completare la fase trial con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup
raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.
1 | Accedere a https://admin.webex.com, quindi selezionare Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 | Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
Impostare la distribuzione di sicurezza dei dati ibridi.
Attivare la versione di prova e aggiungere diversi utenti di prova.
Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.
1 | Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.
| ||
2 | Invia messaggi al nuovo spazio. | ||
3 | Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
Monitoraggio della salute della sicurezza dei dati ibridi
1 | In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 | Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni). Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
|
3 | Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 | Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic Salva . |
Passa da versione di prova a produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione). |
4 | Confermare che si desidera spostare tutti gli utenti in produzione. |
Terminare la prova senza passare alla produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Disattiva fare clic su Disattiva. |
4 | Confermare che si desidera disattivare il servizio e terminare la prova. |
Gestione della distribuzione HDS
Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 | Accedere a Control Hub. |
2 | Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 | Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster. |
4 | Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 | Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
Modifica dei certificati x.509 a causa di una scadenza o altri motivi.
Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.
Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:
Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.
Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.
Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.
1 | Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 | Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi. |
3 | Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo: |
4 | Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattivazione della modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 | In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 | Andare a Overview (pagina predefinita). Quando abilitata, Risoluzione DNS esterno bloccato è impostato su Sì . |
3 | Andare alla pagina Archivio attendibilità e proxy. |
4 | Fare clic su Verifica connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimozione di un nodo
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 | Rimuovi il nodo: |
3 | Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina). Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.
Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS. | ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
(Opzionale) Smontaggio ISO dopo configurazione HDS
La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.
Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.
Operazioni preliminari
Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 | Chiudere uno dei nodi HDS. |
2 | Nella vCenter Server Appliance, selezionare il nodo HDS. |
3 | Scegli Datastore ISO File. e deseleziona |
4 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 | Ripetere per ciascun nodo HDS a sua volta. |
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
I titoli dei messaggi e dello spazio non vengono decrittografati per:
Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso | Azione |
---|---|
Errore di accesso al database locale. |
Verificare la presenza di errori nel database o problemi di rete locale. |
Errore di connessione al database locale. |
Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna. |
Rinnovo della registrazione del servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso. |
Registrazione servizio cloud interrotta. |
La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto. |
Servizio non ancora attivato. |
Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale. |
Impossibile eseguire l'autenticazione ai servizi cloud. |
Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password nel file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso alla rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 | Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi. |
2 | Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security. |
3 | Contatta il supporto Cisco. |
Problemi noti per la sicurezza dei dati ibridi
Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.
Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).
Uso di OpenSSL per generare un file PKCS12
Operazioni preliminari
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.
Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).
1 | Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come |
2 | Visualizzare il certificato come testo e verificare i dettagli.
|
3 | Utilizzare un editor di testo per creare un file di bundle di certificati denominato
|
4 | Creare il file .p12 con il nome amichevole
|
5 | Controllare i dettagli del certificato del server. |
Operazioni successive
Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12
file e la password impostata, in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale. |
Traffico tra i nodi HDS e il cloud
Traffico incasso metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
Richieste di crittografia da client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
Websocket non può connettersi tramite proxy Squid
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:
) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss:
traffico per il corretto funzionamento dei servizi.
Calamaro 4 e 5
Aggiungi il on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tunnel all
Calamaro 3.5.27
Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf
. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informazioni nuove e modificate
Data |
Modifiche apportate | ||
---|---|---|---|
20 ottobre 2023 |
| ||
7 agosto 2023 |
| ||
23 maggio 2023 |
| ||
6 dicembre 2022 |
| ||
23 novembre 2022 |
| ||
giovedì 13 ottobre 2021 |
Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker. | ||
Giovedì 24 giugno 2021 |
Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12 . | ||
30 aprile 2021 |
Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale . | ||
24 febbraio 2021 |
Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS . | ||
2 febbraio 2021 |
HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS . | ||
11 gennaio 2021 |
Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. | ||
13 ottobre 2020 |
Aggiornato Scarica file di installazione. | ||
8 ottobre 2020 |
Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. | ||
14 agosto 2020 |
Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso. | ||
5 agosto 2020 |
Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro. Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori. | ||
16 giugno 2020 |
Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. | ||
4 giugno 2020 |
Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare. | ||
29 maggio 2020 |
Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti. | ||
5 maggio 2020 |
Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5. | ||
21 aprile 2020 |
Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas. | ||
1° aprile 2020 |
Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali. | ||
20 febbraio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS. | ||
4 febbraio 2020 | Aggiornati i requisiti del server proxy. | ||
16 dicembre 2019 | Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. | ||
19 novembre 2019 |
Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: | ||
8 novembre 2019 |
Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Aggiornate di conseguenza le seguenti sezioni:
| ||
6 settembre 2019 |
Aggiunto SQL Server Standard ai requisiti del server database. | ||
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto. | ||
È il 20 agosto 2019 |
Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex. | ||
13 giugno 2019 | Aggiornato il flusso attività di prova su produzione con un promemoria per sincronizzare l'oggetto di gruppo HdsTrialGroup prima di avviare una prova, se la propria organizzazione utilizza la sincronizzazione delle rubriche. | ||
6 marzo 2019 |
| ||
28 febbraio 2019 |
| ||
26 febbraio 2019 |
| ||
24 gennaio 2019 |
| ||
5 novembre 2018 |
| ||
19 ottobre 2018 |
| ||
31 luglio 2018 |
| ||
21 maggio 2018 |
Terminologia modificata per riflettere il rebranding di Cisco Spark:
| ||
11 aprile 2018 |
| ||
22 febbraio 2018 |
| ||
15 febbraio 2018 |
| ||
18 gennaio 2018 |
| ||
2 novembre 2017 |
| ||
18 agosto 2017 |
Prima pubblicazione |
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La chiave di volta di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.
Architettura dell'area di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
-
Il cliente stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
-
Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.
-
Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.
-
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
-
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
-
le apparecchiature, il software e l'accesso alla rete descritti in Prepare Your Environment (Prepara il tuo ambiente).
La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:
-
Gestire il backup e il ripristino del database e della configurazione ISO.
-
Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.
Non è disponibile alcun meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS. |
Processo di impostazione di alto livello
Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:
Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.
-
Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.
-
Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.
Modello di distribuzione di sicurezza dei dati ibridi
All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova della sicurezza dei dati ibridi
Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.
Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".
Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati standby per ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.
I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo. |
Imposta centro dati standby per ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
-
Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. (Vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).
-
Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.
1 |
Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.
| ||
2 |
Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 |
Nella pagina Impostazioni avanzate , aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.
| ||
4 |
Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 |
Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 |
Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 |
Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 |
Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 |
Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
Dopo aver configurato la modalità passiva
nel file ISO e averlo salvato, è possibile creare un'altra copia del file ISO senza la configurazione della modalità passiva
e salvarlo in una posizione sicura. Questa copia del file ISO senza modalità passiva
configurata può aiutare in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:
-
Nessun proxy: impostazione predefinita se non si utilizza il nodo HDS Trust Store e configurazione proxy per integrare un proxy. Nessun aggiornamento certificato richiesto.
-
Proxy trasparente non ispezionato: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
-
Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
-
Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
-
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
-
Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.
-
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
-
HTTP — Visualizza e controlla tutte le richieste che il client invia.
-
HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
-
-
Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:
-
Nessuno: non è richiesta alcuna ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
-
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede l'inserimento del nome utente e della password su ciascun nodo.
-
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede l'inserimento del nome utente e della password su ciascun nodo.
-
-
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.
Requisiti per la sicurezza dei dati ibridi
Requisiti della licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
-
È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti desktop docker
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".
Requisiti di certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito |
Dettagli |
---|---|
|
Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
|
Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, Il CN non deve contenere un * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicabile sia alle distribuzioni di prova che a quelle di produzione. |
|
Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
|
È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti organizzatore virtuale
Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:
-
Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro
-
VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
-
Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server
Requisiti server database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database. |
Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:
PostgreSQL |
Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minimo 8 vCPU, memoria principale da 16 GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per molto tempo senza dover aumentare lo storage) |
Minimo 8 vCPU, memoria principale da 16 GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per molto tempo senza dover aumentare lo storage) |
Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:
PostgreSQL |
Server Microsoft SQL |
---|---|
Driver JDBC Postgres 42.2.5 |
Driver JDBC server SQL 4.6 Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On). |
Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
-
I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.
-
L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.
-
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).
-
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.
Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:
Applicazione |
Protocol |
Porta |
Direzione dall'app |
Destinazione |
---|---|---|---|---|
Nodi di sicurezza dati ibridi |
TCP |
443 |
HTTPS e WSS in uscita |
|
Strumento di impostazione HDS |
TCP |
443 |
HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi. |
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione |
URL host identità comune |
---|---|
Americhe |
|
Unione Europea |
|
Canada |
|
Requisiti del server proxy
-
Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
-
Proxy trasparente — Cisco Web Security Appliance (WSA).
-
Proxy esplicito-calamaro.
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
-
-
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
-
Nessuna autenticazione con HTTP o HTTPS
-
Autenticazione di base con HTTP o HTTPS
-
Autenticazione digest solo con HTTPS
-
-
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
-
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
-
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a
wbx2.com
eciscospark.com
risolverà il problema.
Completamento dei prerequisiti per la sicurezza dei dati ibridi
1 |
Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo. | ||
2 |
Scegliere un nome di dominio per la distribuzione HDS (ad esempio, | ||
3 |
Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale. | ||
4 |
Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. | ||
5 |
Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. | ||
6 |
Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514). | ||
7 |
Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.
I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico. | ||
8 |
Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna. | ||
9 |
Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080. Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna. | ||
10 |
Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy. | ||
11 |
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory denominato
|
Hybrid Data Security Deployment Task Flow
Operazioni preliminari
1 |
Download the OVA file to your local machine for later use. | ||
2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
6 |
Configurazione del nodo HDS per l'integrazione proxy If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
8 |
Create and Register More Nodes Complete the cluster setup. | ||
9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Operazioni preliminari
-
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
Proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
1 |
Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: In ambienti FedRAMP:
| ||||||||||||
2 |
Per accedere al registro dell'immagine Docker, inserire quanto segue: | ||||||||||||
3 |
Alla richiesta della password, immettere questo cancelletto: | ||||||||||||
4 |
Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: In ambienti FedRAMP: | ||||||||||||
5 |
Al termine del pull, immettere il comando appropriato per l'ambiente in uso:
Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". | ||||||||||||
6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
9 |
On the ISO Import page, you have these options:
| ||||||||||||
10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
18 |
Per chiudere lo strumento di impostazione, digitare |
Operazioni successive
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
2 |
Select File > Deploy OVF Template. | ||||||
3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
6 |
Verify the template details and then click Next. | ||||||
7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
11 |
Right-click the node VM, and then choose .The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Suggerimenti per la risoluzione dei problemi You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
|
2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Operazioni preliminari
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
1 |
Upload the ISO file from your computer: |
2 |
Mount the ISO file: |
Operazioni successive
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
-
See Proxy Support for an overview of the supported proxy options.
1 |
Inserire l'URL di installazione del nodo HDS |
2 |
Andare a attendibilità archivio e proxy, quindi scegliere un'opzione:
Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS. |
3 |
Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file. |
4 |
Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
5 |
Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto. |
6 |
Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti. |
7 |
Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy. |
Register the First Node in the Cluster
When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.
Operazioni preliminari
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Accedere a https://admin.webex.com. |
2 |
From the menu on the left side of the screen, select Services. |
3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas" |
6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
7 |
Click Go to Node. |
8 |
Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Operazioni preliminari
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
Operazioni successive
Flusso attività da prova a produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 |
Se applicabile, sincronizzare l'oggetto del gruppo Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto di gruppo |
2 |
Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato. |
3 |
Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
4 |
Monitoraggio della salute della sicurezza dei dati ibridi Controllare lo stato e impostare notifiche e-mail per gli allarmi. |
5 | |
6 |
Completare la fase trial con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto di gruppo HdsTrialGroup
per la sincronizzazione al cloud prima di poter avviare una prova per la propria organizzazione. Per istruzioni, vedere la Guida alla distribuzione di Cisco Directory Connector.
1 |
Accedere a https://admin.webex.com, quindi selezionare Servizi. |
2 |
In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 |
Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 |
Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
-
Impostare la distribuzione di sicurezza dei dati ibridi.
-
Attivare la versione di prova e aggiungere diversi utenti di prova.
-
Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.
1 |
Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.
| ||
2 |
Invia messaggi al nuovo spazio. | ||
3 |
Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
Monitoraggio della salute della sicurezza dei dati ibridi
1 |
In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 |
Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni). Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
|
3 |
Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud lo recupererà per conto dell'utente.
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; è possibile visualizzare i membri del gruppo in Control Hub, ma non è possibile aggiungerli o rimuoverli.
1 |
Accedi a Control Hub, quindi seleziona Servizi. |
2 |
In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 |
Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 |
Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic su Salva. |
Passa da versione di prova a produzione
1 |
Accedi a Control Hub, quindi seleziona Servizi. |
2 |
In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 |
Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione). |
4 |
Confermare che si desidera spostare tutti gli utenti in produzione. |
Terminare la prova senza passare alla produzione
1 |
Accedi a Control Hub, quindi seleziona Servizi. |
2 |
In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 |
Nella sezione Disattiva fare clic su Disattiva. |
4 |
Confermare che si desidera disattivare il servizio e terminare la prova. |
Gestione della distribuzione HDS
Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 |
Accedere a Control Hub. |
2 |
Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 |
Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster. |
4 |
Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 |
Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
-
Modifica dei certificati x.509 a causa della scadenza o di altri motivi.
La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
-
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.
La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
-
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:
-
Soft reset: le password vecchie e nuove funzionano per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
-
Ripristino difficile: le password precedenti smettono di funzionare immediatamente.
Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
-
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
Proxy HTTP senza autenticazione
_AGENTE_HTTP_PROXY GLOBALE=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
_AGENTE_HTTPS_PROXY GLOBALE=http://SERVER_IP:PORT
Proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.
1 |
Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 |
Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo di sicurezza dei dati ibridi VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi. |
3 |
Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: |
4 |
Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattiva modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 |
In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 |
Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì. |
3 |
Andare alla pagina Archivio attendibili e proxy . |
4 |
Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimozione di un nodo
1 |
Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 |
Rimuovi il nodo: |
3 |
Nel client vSphere, eliminare la VM. (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina). Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.
Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.
1 |
Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS. | ||
2 |
Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 |
Nella pagina Impostazioni avanzate , aggiungi la configurazione seguente o rimuovi la configurazione
| ||
4 |
Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 |
Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 |
Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 |
Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 |
Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 |
Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
(Opzionale) Smontaggio ISO dopo configurazione HDS
La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.
Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.
Operazioni preliminari
Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 |
Chiudere uno dei nodi HDS. |
2 |
Nella vCenter Server Appliance, selezionare il nodo HDS. |
3 |
Scegli Datastore ISO File. e deseleziona |
4 |
Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 |
Ripetere per ciascun nodo HDS a sua volta. |
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:
-
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
-
I titoli dei messaggi e dello spazio non vengono decrittografati per:
-
Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)
-
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
-
-
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso |
Azione |
---|---|
Errore di accesso al database locale. |
Controllare gli errori del database o i problemi della rete locale. |
Errore di connessione al database locale. |
Verificare che il server del database sia disponibile e che le credenziali dell'account servizio corretto siano state utilizzate nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna. |
Rinnovo della registrazione del servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso. |
Registrazione servizio cloud interrotta. |
La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto. |
Servizio non ancora attivato. |
Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale. |
Impossibile eseguire l'autenticazione ai servizi cloud. |
Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password nel file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso alla rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 |
Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi. |
2 |
Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security. |
3 |
Contatta il supporto Cisco. |
Problemi noti per la sicurezza dei dati ibridi
-
Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.
-
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.
Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (tramite timeout o tramite disconnessione e back-in).
Uso di OpenSSL per generare un file PKCS12
Operazioni preliminari
-
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.
-
Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.
-
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org il software e la documentazione.
-
Creare una chiave privata.
-
Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).
1 |
Quando si riceve il certificato del server dalla CA, salvarlo come |
2 |
Visualizzare il certificato come testo e verificare i dettagli.
|
3 |
Utilizzare un editor di testo per creare un file di bundle di certificati denominato
|
4 |
Creare il file .p12 con il nome amichevole
|
5 |
Controllare i dettagli del certificato del server. |
Operazioni successive
Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il file hdsnode.p12
e la password impostata, in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale. |
Traffico tra i nodi HDS e il cloud
Traffico incasso metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
-
Richieste di crittografia da client, indirizzate dal servizio di crittografia
-
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
WebSocket non può connettersi attraverso il proxy Squid
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:
) richieste dalla sicurezza dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS:
traffico per il corretto funzionamento dei servizi.
Calamari 4 e 5
Aggiungere la on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tutto il tunnel
3.5.27 di calamari
La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf
. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
Informazioni nuove e modificate
Data | Modifiche apportate | ||
---|---|---|---|
20 ottobre 2023 |
| ||
7 agosto 2023 |
| ||
23 maggio 2023 |
| ||
6 dicembre 2022 |
| ||
23 novembre 2022 |
| ||
13 ottobre 2021 | Docker Desktop deve eseguire un programma di impostazione prima di installare i nodi HDS. Vedere Requisiti desktop docker. | ||
24 giugno 2021 | Tenere presente che è possibile riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere Uso di OpenSSL per generare un file PKCS12. | ||
30 aprile 2021 | Modificato il requisito della VM per lo spazio su disco rigido locale in 30 GB. Per informazioni dettagliate, vedere Requisiti organizzatore virtuale. | ||
24 febbraio 2021 | Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedere Creazione di una configurazione ISO per gli host HDS. | ||
2 febbraio 2021 | HDS ora può funzionare senza un file ISO montato. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS. | ||
11 gennaio 2021 | Aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. | ||
13 ottobre 2020 | Aggiornato Scarica file di installazione. | ||
8 ottobre 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. | ||
14 agosto 2020 | Aggiornata Creazione di un ISO di configurazione per gli host HDS e Modifica della configurazione del nodo con modifiche al processo di accesso. | ||
5 agosto 2020 | Aggiornata la verifica della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi del registro. Aggiornati i requisiti dell'organizzatore virtuale per rimuovere il numero massimo di organizzatori. | ||
16 giugno 2020 | Aggiornata la rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. | ||
4 giugno 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per le modifiche alle impostazioni avanzate che è possibile impostare. | ||
29 maggio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS per mostrare che è possibile utilizzare anche TLS con database SQL Server, modifiche dell'interfaccia utente e altri chiarimenti. | ||
5 maggio 2020 | Aggiornati i requisiti dell'organizzatore virtuale per mostrare il nuovo requisito di ESXi 6.5. | ||
21 aprile 2020 | Aggiornati i requisiti di connettività esterna con i nuovi host CI Americas. | ||
1° aprile 2020 | Aggiornati i requisiti di connettività esterna con informazioni sugli host CI regionali. | ||
20 febbraio 2020 | Aggiornata Creazione di una configurazione ISO per gli host HDS con informazioni sulla nuova schermata opzionale Impostazioni avanzate nello strumento Impostazione HDS. | ||
4 febbraio 2020 | Aggiornati i requisiti del server proxy. | ||
16 dicembre 2019 | Chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. | ||
19 novembre 2019 | Aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: | ||
8 novembre 2019 | Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Aggiornate di conseguenza le seguenti sezioni:
| ||
6 settembre 2019 | Aggiunto SQL Server Standard ai requisiti del server database. | ||
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con indicazioni sulla configurazione dei proxy Squid per ignorare il traffico websocket per un funzionamento corretto. | ||
20 agosto 2019 | Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida sul supporto proxy per la sicurezza dei dati ibridi e il mesh video Webex. | ||
13 giugno 2019 | Aggiornato Flusso attività di prova su produzione con un promemoria per sincronizzare la HdsTrialGroup raggruppa l'oggetto prima di avviare una versione di prova se la tua organizzazione utilizza la sincronizzazione delle rubriche. | ||
6 marzo 2019 |
| ||
28 febbraio 2019 |
| ||
26 febbraio 2019 |
| ||
24 gennaio 2019 |
| ||
5 novembre 2018 |
| ||
giovedì 19 ottobre 2018 |
| ||
31 luglio 2018 |
| ||
21 maggio 2018 | Terminologia modificata per riflettere il rebranding di Cisco Spark:
| ||
11 aprile 2018 |
| ||
22 febbraio 2018 |
| ||
15 febbraio 2018 |
| ||
18 gennaio 2018 |
| ||
2 novembre 2017 |
| ||
18 agosto 2017 | Prima pubblicazione |
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. La chiave di volta di questa sicurezza è la crittografia del contenuto end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). KMS è responsabile della creazione e della gestione delle chiavi crittografiche utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche memorizzate nel KMS su cloud, nell'area di sicurezza di Cisco. Hybrid Data Security sposta il KMS e altre funzioni correlate alla sicurezza sul tuo centro dati aziendale, in modo che nessuno, tranne te, mantenga le chiavi del tuo contenuto crittografato.
Architettura dell'area di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in regni separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nelle sue aree cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le loro informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di archiviazione del contenuto crittografato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente ed è stato autenticato con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il cliente lo invia al servizio di indicizzazione che crea indici di ricerca criptati per facilitare la ricerca futura dei contenuti.
Il messaggio crittografato viene inviato al servizio di compliance per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di sicurezza (KMS, indicizzazione e conformità) nel centro dati locale. Gli altri servizi cloud che costituiscono Webex (tra cui identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stata creata da uno dei tuoi utenti), il tuo KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, KMS indirizza la richiesta al cloud Webex attraverso un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione di sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione di sicurezza dei dati ibridi richiede un significativo impegno del cliente e una consapevolezza dei rischi derivanti dal possesso di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
le apparecchiature, il software e l'accesso alla rete descritti in Prepare Your Environment (Prepara il tuo ambiente).
La perdita completa della configurazione ISO creata per la sicurezza dei dati ibridi o del database fornito provocherà la perdita delle chiavi. La perdita di chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In questo caso, è possibile creare una nuova distribuzione, ma solo nuovi contenuti saranno visibili. Per evitare di perdere l'accesso ai dati, è necessario:
Gestire il backup e il ripristino del database e della configurazione ISO.
Prepararsi a eseguire un rapido ripristino di emergenza in caso di catastrofe, come guasto del disco del database o disastro del centro dati.
Non esiste un meccanismo per spostare nuovamente i tasti sul cloud dopo una distribuzione HDS. |
Processo di impostazione di alto livello
Questo documento copre l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi:
Impostazione della sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione viene convertita per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di configurazione, prova e produzione sono descritte in dettaglio nei prossimi tre capitoli.
Mantieni la distribuzione di sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire il supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco come necessario. Puoi utilizzare notifiche a schermo e impostare avvisi basati su e-mail in Control Hub.
Comprendere avvisi comuni, fasi di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o utilizzo della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti possono aiutare a determinare e risolvere il problema.
Modello di distribuzione di sicurezza dei dati ibridi
All'interno del centro dati aziendale, si distribuisce Hybrid Data Security come singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuro.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle VM fornite. Utilizzare lo strumento di impostazione HDS per creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. Configurare i dettagli di connessione Syslogd e database nello strumento di impostazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Si consiglia di averne almeno tre e si possono averne fino a cinque. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o un'altra attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e registrano l'attività sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono le richieste chiave in modo rotondo-robin, come diretto dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per rimuovere un singolo nodo dal servizio, puoi annullarne la registrazione e successivamente eseguirne l'iscrizione, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova della sicurezza dei dati ibridi
Dopo aver impostato una distribuzione di sicurezza dei dati ibridi, provare con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di sicurezza. Gli altri utenti continuano a utilizzare l'area di sicurezza del cloud.
Se si decide di non continuare con la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Nell'app Webex viene visualizzato il messaggio "Impossibile decrittografare questo messaggio".
Se si è soddisfatti che la distribuzione funzioni correttamente per gli utenti di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, spostare la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il set di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti conservano l'accesso ai dati a questo punto, dipende se sono stati mantenuti con successo i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati standby per ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby sicuro. In caso di disastro di un centro dati, è possibile non riuscire manualmente la distribuzione nel centro dati standby.
I database dei centri dati attivi e standby sono sincronizzati tra loro e ciò ridurrà al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con configurazioni aggiuntive che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiranno il traffico. Pertanto, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo. |
Imposta centro dati standby per ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
Il centro dati standby deve rispecchiare l'ambiente di produzione delle VM e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM (vedere Centro dati standby per ripristino di emergenza per una panoramica di questo modello di failover).
Accertarsi che la sincronizzazione del database sia abilitata tra il database dei nodi cluster attivi e passivi.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS.
| ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungi la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà alcun traffico.
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
Dopo la configurazione passiveMode
nel file ISO e salvarlo, è possibile creare un'altra copia del file ISO senza il passiveMode
configurazione e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode
configurato può essere di aiuto in un rapido processo di failover durante il ripristino di emergenza. Vedere Ripristino di emergenza utilizzando il centro dati standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy espliciti, trasparenti e non ispezionati. È possibile associare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico dall'azienda al cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per la gestione dei certificati e per controllare lo stato generale della connettività dopo aver impostato il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni proxy:
Nessun proxy: impostazione predefinita se non si utilizza la configurazione Trust Store e Proxy del nodo HDS per integrare un proxy. Nessun aggiornamento del certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non devono richiedere modifiche per lavorare con un proxy non ispezionato. Nessun aggiornamento del certificato richiesto.
Tunneling trasparente o ispezione del proxy: i nodi non sono configurati per utilizzare un indirizzo del server proxy specifico. Nessuna modifica di configurazione HTTP o HTTPS è necessaria sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. Le deleghe di ispezione vengono solitamente utilizzate dal reparto IT per attuare politiche su cui i siti web possono essere visitati e su quali tipi di contenuti non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, indicare ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
Porta proxy: un numero di porta utilizzato dal proxy per ascoltare il traffico proxy.
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
HTTP: visualizza e controlla tutte le richieste inviate dal client.
HTTPS: fornisce un canale al server. Il client riceve e convalida il certificato del server.
Tipo di autenticazione: scegliere uno dei seguenti tipi di autenticazione:
Nessuno: non è richiesta alcuna ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e la password prima dell'invio tramite la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede di immettere il nome utente e la password su ciascun nodo.
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra sicurezza dati ibridi, rete e proxy. Per le opzioni proxy di ispezione trasparente e di ispezione esplicita HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per client interni, se il nodo non riesce a interrogare i server DNS, passa automaticamente in modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile continuare con la registrazione del nodo e altri test di connettività proxy.
Requisiti per la sicurezza dei dati ibridi
Requisiti della licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti desktop docker
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La tua organizzazione potrebbe richiedere un abbonamento a pagamento per Docker Desktop. Per maggiori dettagli, vedi il post sul blog Docker, "Docker sta aggiornando ed estendendo le sottoscrizioni ai nostri prodotti".
Requisiti di certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito | Dettagli |
---|---|
| Per impostazione predefinita, ci affidiamo alle CA presenti nella lista Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
| Il CN non deve essere raggiungibile o un organizzatore in diretta. Si consiglia di utilizzare un nome che rifletta la propria organizzazione, ad esempio, Il CN non deve contenere un * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il tuo KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, non è possibile modificare il nome del dominio CN. Scegliere un dominio che possa essere applicato sia alle distribuzioni di prova che a quelle di produzione. |
| Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
| È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Quando si esegue lo strumento di impostazione HDS, è necessario immettere la password. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli di utilizzo delle chiavi estesi. Alcune autorità di certificazione richiedono l'applicazione di vincoli di utilizzo chiave estesi a ciascun certificato, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti organizzatore virtuale
Gli organizzatori virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster presentano i seguenti requisiti:
Almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro
VMware ESXi 6.5 (o versioni successive) installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, memoria principale da 8 GB, spazio su disco rigido locale da 30 GB per server
Requisiti server database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database. |
Sono disponibili due opzioni per il server del database. I requisiti per ciascuno di essi sono i seguenti:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) | Minimo 8 vCPU, memoria principale 16-GB, spazio su disco rigido sufficiente e monitoraggio per assicurarsi che non venga superato (2-TB consigliato se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Il software HDS attualmente installa le seguenti versioni del driver per la comunicazione con il server del database:
PostgreSQL | Server Microsoft SQL |
---|---|
Driver Postgres JDBC 42.2.5 | Driver JDBC server SQL 4.6 Questa versione del driver supporta SQL Server Always On (istanze cluster di failover Always On e gruppi di disponibilità Always On). |
Requisiti aggiuntivi per l'autenticazione Windows rispetto a Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database dei keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
I nodi HDS, l'infrastruttura Active Directory e il server MS SQL devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre dell'accesso in lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il Key Distribution Center (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come SPN (Service Principal Name) in Active Directory. Vedere Registrazione di un nome principale del servizio per le connessioni Kerberos.
Lo strumento di impostazione HDS, HDS launcher e KMS locali devono tutti utilizzare l'autenticazione Windows per accedere al database del keystore. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall per consentire la seguente connettività per le applicazioni HDS:
Applicazione | Protocol | Porta | Direzione dall'app | Destinazione |
---|---|---|---|---|
Nodi di sicurezza dati ibridi | TCP | 443 | HTTPS e WSS in uscita |
|
Strumento di impostazione HDS | TCP | 443 | HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni del dominio nella tabella precedente. Per le connessioni in ingresso ai nodi di sicurezza dei dati ibridi, nessuna porta deve essere visibile da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per fini amministrativi. |
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione | URL host identità comune |
---|---|
Americhe |
|
Unione Europea |
|
Canada |
|
Requisiti server proxy
Sono supportate ufficialmente le seguenti soluzioni proxy che possono essere integrate con i nodi di sicurezza dei dati ibridi.
Proxy trasparente: Cisco Web Security Appliance (WSA).
Proxy esplicito: Squid.
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket (wss:) connessioni. Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
Nessuna autenticazione con HTTP o HTTPS
Autenticazione di base con HTTP o HTTPS
Autenticazione del digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni di distribuzione in questa guida indicano come caricare la copia negli archivi attendibilità dei nodi di sicurezza dei dati ibridi.
È necessario configurare la rete che ospita i nodi HDS per forzare il traffico TCP in uscita sulla porta 443 per l'indirizzamento attraverso il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni delle socket Web. Se si verifica questo problema, aggirare (non ispezionare) il traffico verso
wbx2.com
eciscospark.com
risolverà il problema.
Completamento dei prerequisiti per la sicurezza dei dati ibridi
1 | Accertarsi che l'organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore dell'organizzazione completi. Contattare il partner Cisco o l'account manager per assistenza con questo processo. | ||
2 | Scegliere un nome di dominio per la distribuzione HDS (ad esempio, | ||
3 | Preparare host virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. Sono necessari almeno due organizzatori separati (3 consigliati) coposizionati nello stesso centro dati sicuro, che soddisfano i requisiti dei requisiti dell'organizzatore virtuale. | ||
4 | Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai requisiti del server del database. Il server del database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. | ||
5 | Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS in esecuzione, l'ambiente di backup deve disporre di 3 VM. | ||
6 | Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514). | ||
7 | Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server di database e l'host syslog. Come minimo, per evitare perdite di dati non recuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi.
I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Mentre le interruzioni temporanee sono impossibili da prevenire, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione determinerà dati cliente non recuperabili. Gli operatori dei nodi di sicurezza dei dati ibridi sono tenuti a mantenere frequenti backup del database e del file ISO di configurazione, ed essere preparati a ricostruire il centro dati di sicurezza dei dati ibridi se si verifica un errore catastrofico. | ||
8 | Assicurarsi che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto nei requisiti di connettività esterna. | ||
9 | Installare il Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi su http://127.0.0.1:8080. Utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locali per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti desktop docker. Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta nei requisiti di connettività esterna. | ||
10 | Se si sta integrando un proxy con la sicurezza dei dati ibridi, assicurarsi che soddisfi i Requisiti del server proxy. | ||
11 | Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory chiamato
|
Flusso attività distribuzione sicurezza dati ibridi
Operazioni preliminari
1 |
Scaricare il file OVA sulla macchina locale per utilizzarlo successivamente. | ||
2 | Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi. | ||
3 | Installazione del file OVA organizzatore HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, come le impostazioni di rete.
| ||
4 | Impostazione della sicurezza dei dati ibridi VM Accedere alla console VM e impostare le credenziali di accesso. Configura le impostazioni di rete per il nodo se non le hai configurate al momento della distribuzione OVA. | ||
5 | Caricamento e montaggio della configurazione HDS ISO Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS. | ||
6 | Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario. | ||
7 | Registrazione del primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi. | ||
8 | Creazione e registrazione di altri nodi Completare l'impostazione del cluster. | ||
9 | Eseguire una versione di prova e passare alla produzione (capitolo successivo) Fino a quando non si avvia una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato. |
Scarica file di installazione
1 | Accedere a https://admin.webex.com, quindi fare clic su Servizi. | ||||
2 | Nella sezione Servizi ibridi, trovare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornisci il tuo numero di account e chiedi di abilitare la sicurezza dei dati ibridi per la tua organizzazione. Per trovare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione.
| ||||
3 | Seleziona No per indicare che non hai ancora impostato il nodo, quindi fai clic su Avanti. Il file OVA inizia automaticamente al download. Salvare il file in una posizione sulla macchina.
| ||||
4 | Opzionalmente, fare clic su Apri guida alla distribuzione per verificare se è disponibile una versione successiva di questa guida. |
Creazione di un ISO di configurazione per gli host HDS
Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Quindi, utilizzare l'ISO per configurare l'host Hybrid Data Security.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su quella macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la tua organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
Proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Il file ISO di configurazione generato contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come queste:
Credenziali del database
Aggiornamenti dei certificati
Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni al database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.
1 | Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
2 | Per accedere al registro immagini Docker, immettere quanto segue:
| ||||||||||||
3 | Quando richiesto dalla password, immettere questo hash:
| ||||||||||||
4 | Scarica l'ultima immagine stabile per l'ambiente: In ambienti normali:
In ambienti FedRAMP:
| ||||||||||||
5 | Al termine dell'estrazione, immettere il comando appropriato per l'ambiente:
Quando il contenitore è in funzione, viene visualizzato "Express server listening on port 8080". | ||||||||||||
6 |
Utilizzare un browser Web per passare all'host locale, Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per tale account. Lo strumento visualizza la richiesta di accesso standard. | ||||||||||||
7 | Quando richiesto, inserisci le credenziali di accesso amministratore cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi. | ||||||||||||
8 | Nella pagina di panoramica dello Strumento di impostazione, fare clic su Introduzione. | ||||||||||||
9 | Nella pagina Importazione ISO sono disponibili le seguenti opzioni:
| ||||||||||||
10 | Verificare che il certificato X.509 soddisfi i requisiti di Requisiti di certificato X.509.
| ||||||||||||
11 | Inserire l'indirizzo del database e l'account per HDS per accedere al datastore della chiave: | ||||||||||||
12 | Selezionare una modalità di connessione al database TLS:
Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS al server del database. Lo strumento verifica anche il marchio del certificato e il nome host, se applicabile. In caso di errore del test, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare con l'impostazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non può testarla correttamente. | ||||||||||||
13 | Nella pagina Registri di sistema, configurare il server Syslogd: | ||||||||||||
14 | (Opzionale) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In generale, questo parametro è l'unico parametro che si potrebbe voler modificare:
| ||||||||||||
15 | Fare clic su Continua nella schermata Reimposta password account di servizio. Le password degli account di servizio hanno una durata di nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o si desidera reimpostarle per invalidare i file ISO precedenti. | ||||||||||||
16 | Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare. | ||||||||||||
17 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||||||||||||
18 | Per spegnere lo strumento Impostazione, digitare |
Operazioni successive
Eseguire il backup del file ISO di configurazione. È necessario creare più nodi per il ripristino o apportare modifiche alla configurazione. Se si perdono tutte le copie del file ISO, si perde anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.
Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi. |
Installazione del file OVA organizzatore HDS
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi. | ||||||
2 | Selezionare File > Distribuisci modello OVF. | ||||||
3 | Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Successivo. | ||||||
4 | Il Seleziona un nome e una cartella pagina , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegliere una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fare clic su Successivo. | ||||||
5 | Il Seleziona una risorsa di calcolo pagina , scegliere la risorsa di calcolo della destinazione, quindi fare clic su Successivo. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello. | ||||||
6 | Verificare i dettagli del modello, quindi fare clic su Avanti. | ||||||
7 | Se viene richiesto di scegliere la configurazione delle risorse in Configurazione pagina , fare clic su 4 CPU e fare clic su Successivo. | ||||||
8 | Il Seleziona storage pagina , fare clic su Successivo per accettare il formato di disco predefinito e i criteri di storage della VM. | ||||||
9 | Il Seleziona reti, scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM. | ||||||
10 | Nella pagina Personalizza modello, configurare le seguenti impostazioni di rete:
Se si preferisce, è possibile ignorare la configurazione delle impostazioni di rete e seguire la procedura riportata in Imposta la sicurezza dei dati ibridi VM per configurare le impostazioni dalla console del nodo.
| ||||||
11 | Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere .Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi È possibile che si verifichi un ritardo di alcuni minuti prima che i contenitori del nodo salgano. Un messaggio del firewall bridge viene visualizzato sulla console durante il primo avvio, durante il quale non è possibile accedere. |
Impostazione della sicurezza dei dati ibridi VM
Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
1 | Nel client VMware vSphere, selezionare il nodo Hybrid Data Security VM e selezionare la scheda Console. La VM si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
|
2 | Per accedere e modificare le credenziali, utilizzare le seguenti credenziali predefinite: Poiché si esegue l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore. |
3 | Se sono già state configurate le impostazioni di rete in Install the HDS Host OVA, ignorare il resto di questa procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione. |
4 | Impostare una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. |
5 | (Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario per corrispondere ai criteri di rete. Non è necessario impostare il dominio in base al dominio utilizzato per ottenere il certificato X.509. |
6 | Salvare la configurazione della rete e riavviare la VM in modo che le modifiche abbiano effetto. |
Caricamento e montaggio della configurazione HDS ISO
Operazioni preliminari
Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base alla necessità di sapere, per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.
1 | Caricare il file ISO dal computer: |
2 | Montare il file ISO: |
Operazioni successive
Se i criteri IT lo richiedono, è possibile smontare opzionalmente il file ISO dopo che tutti i nodi rilevano le modifiche di configurazione. Per ulteriori informazioni, vedere (Opzionale) Smontaggio dell'ISO dopo la configurazione HDS.
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare il certificato radice. È inoltre possibile controllare la connessione del proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
1 | Inserisci l'URL di impostazione del nodo HDS |
2 | Vai su Trust Store & Proxy, quindi scegli un'opzione:
Seguire i passaggi successivi per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS. |
3 | Fare clic su Carica un certificato radice o un certificato dell'entità finale, quindi selezionare il certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia chevron accanto al nome dell'emittente del certificato per ottenere ulteriori dettagli oppure fare clic su Elimina se si è commesso un errore e si desidera ricaricare il file. |
4 | Fare clic su Verifica connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile correggere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'impostazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, completare questa procedura, quindi vedere Disattivazione della modalità di risoluzione DNS esterna bloccata. |
5 | Una volta superato il test di connessione, per il proxy esplicito impostato solo su https, attivare il tasto di alternanza Indirizza tutte le richieste https della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto. |
6 | Fare clic su Installa tutti i certificati nell'archivio attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di ispezione trasparente) o su Riavvia (viene visualizzato per un proxy esplicito HTTP), leggere il prompt, quindi fare clic su Installa se si è pronti. Il nodo si riavvia entro pochi minuti. |
7 | Dopo il riavvio del nodo, eseguire di nuovo l'accesso, se necessario, quindi aprire la pagina Panoramica per controllare i controlli di connettività e assicurarsi che siano tutti in stato verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni dei domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy. |
Registrazione del primo nodo nel cluster
Quando registri il primo nodo, crei un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Accedere a https://admin.webex.com. |
2 | Dal menu sul lato sinistro della schermata, selezionare Servizi. |
3 | Nella sezione Servizi ibridi, trovare Sicurezza dati ibridi e fare clic su Imposta. Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
|
4 | Seleziona Sì per indicare che hai impostato il nodo e che sei pronto a registrarlo, quindi fai clic su Avanti. |
5 | Nel primo campo, immettere un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas" |
6 | Nel secondo campo, immettere l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Avanti. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
|
7 | Fare clic su Vai a nodo. |
8 | Fare clic su Continua nel messaggio di avviso. Dopo alcuni istanti, si viene reindirizzati ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, confermi di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al nodo.
|
9 | Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi, quindi fare clic su Continua. L'account viene convalidato e il messaggio "Registrazione completa" indica che il nodo è ora registrato nel cloud Webex.
|
10 | Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub. Nella pagina Sicurezza dati ibridi, viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scaricherà automaticamente l'ultimo software dal cloud.
|
Creazione e registrazione di altri nodi
In questo momento, le VM di backup create in Completa i prerequisiti per la sicurezza dei dati ibridi sono host standby utilizzati solo in caso di ripristino di emergenza; fino a quel momento non sono registrati nel sistema. Per informazioni dettagliate, vedere Ripristino di emergenza utilizzando il centro dati standby. |
Operazioni preliminari
Una volta iniziata la registrazione di un nodo, è necessario completarlo entro 60 minuti o iniziare da capo.
Accertarsi che eventuali blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 | Creare una nuova macchina virtuale dal file OVA, ripetendo le operazioni descritte in Installazione del file OVA host HDS. |
2 | Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Imposta la sicurezza dei dati ibridi VM. |
3 | Nella nuova VM, ripetere le operazioni riportate in Upload and Mount the HDS Configuration ISO. |
4 | Se si sta impostando un proxy per la distribuzione, ripetere i passaggi in Configura il nodo HDS per l'integrazione proxy come necessario per il nuovo nodo. |
5 | Registrare il nodo. Il nodo è registrato. Tenere presente che fino all'avvio di una versione di prova, i nodi generano un allarme a indicare che il servizio non è ancora attivato.
|
Operazioni successive
Flusso attività da prova a produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un pilota, aggiungere utenti e iniziare a utilizzarlo per testare e verificare la distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 | Se applicabile, sincronizzare il Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare |
2 |
Avviare una prova. Fino a quando non si esegue questa attività, i nodi generano un allarme che indica che il servizio non è ancora attivato. |
3 | Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
4 | Monitoraggio della salute della sicurezza dei dati ibridi Controllare lo stato e impostare notifiche e-mail per gli allarmi. |
5 | |
6 | Completare la fase trial con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare HdsTrialGroup
raggruppa l'oggetto per la sincronizzazione al cloud prima di poter avviare una versione di prova per la propria organizzazione. Per istruzioni, consultare la Guida alla distribuzione di Connettore directory Cisco.
1 | Accedere a https://admin.webex.com, quindi selezionare Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 | Fai clic su Aggiungi utenti e inserisci l'indirizzo e-mail di uno o più utenti da pilotare utilizzando i nodi Hybrid Data Security per crittografare e indicizzare i servizi. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
Impostare la distribuzione di sicurezza dei dati ibridi.
Attivare la versione di prova e aggiungere diversi utenti di prova.
Assicurarsi di avere accesso al registro di sistema per verificare che le richieste chiave vengano trasferite alla distribuzione di Hybrid Data Security.
1 | Le chiavi per un determinato spazio sono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti pilota, quindi crea uno spazio e invita almeno un utente pilota e un utente non pilota.
| ||
2 | Invia messaggi al nuovo spazio. | ||
3 | Selezionare l'output syslog per verificare che le richieste chiave passino alla distribuzione di Hybrid Data Security. |
Monitoraggio della salute della sicurezza dei dati ibridi
1 | In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 | Nella sezione Hybrid Services (Servizi ibridi), trovare Hybrid Data Security (Sicurezza dati ibridi) e fare clic su Settings (Impostazioni). Viene visualizzata la pagina Impostazioni sicurezza dati ibridi.
|
3 | Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi dal KMS cloud anziché dal KMS. Se il client ha bisogno di una chiave memorizzata sul tuo KMS, il KMS cloud la recupererà per conto dell'utente.
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizzare Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 | Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X da parte di un ID utente per rimuovere l'utente dalla versione di prova. quindi fare clic su Save (Salva). |
Passa da versione di prova a produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Service Status (Stato servizio) fare clic su Move to Production (Passa a produzione). |
4 | Confermare che si desidera spostare tutti gli utenti in produzione. |
Terminare la prova senza passare alla produzione
1 | Accedi a Control Hub, quindi seleziona Servizi. |
2 | In Sicurezza dati ibridi, fai clic su Impostazioni. |
3 | Nella sezione Disattiva fare clic su Disattiva. |
4 | Confermare che si desidera disattivare il servizio e terminare la prova. |
Gestione della distribuzione HDS
Utilizzare le attività descritte qui per gestire la distribuzione di Hybrid Data Security.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 | Accedere a Control Hub. |
2 | Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 | Nella pagina Risorse sicurezza dati ibridi, selezionare il cluster. |
4 | Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 | Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario, viene visualizzata la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno successivo, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
Modifica dei certificati x.509 per scadenza o altri motivi.
Non è supportata la modifica del nome del dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.
La migrazione dei dati da PostgreSQL a Microsoft SQL Server non è supportata o viceversa. Per cambiare l'ambiente del database, avviare una nuova distribuzione di Hybrid Data Security.
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Inoltre, per motivi di sicurezza, Hybrid Data Security utilizza password degli account di servizio che hanno una durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, distribuirle a ciascuno dei nodi HDS nel file di configurazione ISO. Quando le password della propria organizzazione sono prossime alla scadenza, si riceve un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Usa l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:
Soft reset: le password vecchie e nuove funzionano per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino difficile: le password precedenti smettono di funzionare immediatamente.
Se le password scadono senza reimpostazione, questo ha un impatto sul servizio HDS, che richiede un resettaggio immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su quella macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la tua organizzazione.
Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
Proxy HTTP senza autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS senza autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP con autenticazione
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticazione
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario disporre dell'ISO quando si apportano modifiche alla configurazione, incluse le credenziali del database, gli aggiornamenti dei certificati o le modifiche ai criteri di autorizzazione.
1 | Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 | Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo di sicurezza dei dati ibridi VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di più nodi. |
3 | Per i nodi HDS esistenti che eseguono il file di configurazione precedente, montare il file ISO. Eseguire la seguente procedura su ciascun nodo in rotazione, aggiornando ciascun nodo prima di disattivare il nodo successivo: |
4 | Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattivazione della modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica la ricerca DNS e la connettività al cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente in modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici tramite server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 | In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP/impostazione, ad esempio, https://192.0.2.0/setup), immettere le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 | Andare a Overview (pagina predefinita). Se abilitata, la risoluzione DNS esterna bloccata è impostata su Yes. |
3 | Andare alla pagina Archivio attendibilità e proxy. |
4 | Fare clic su Verifica connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimozione di un nodo
1 | Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 | Rimuovi il nodo: |
3 | Nel client vSphere, eliminare la VM (nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina). Se non si elimina la VM, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione di chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile di restituire le chiavi create agli utenti autorizzati a recuperarle, ad esempio, i membri di uno spazio di conversazione.
Poiché il cluster svolge la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup appropriati. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILE del contenuto del cliente. Per evitare tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa l'indisponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per il failover manuale al centro dati standby.
1 | Avviare lo strumento di impostazione HDS e seguire la procedura indicata in Crea una configurazione ISO per gli host HDS. | ||
2 | Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate | ||
3 | Nella pagina Impostazioni avanzate, aggiungere la configurazione seguente o rimuovere il
| ||
4 | Completa il processo di configurazione e salva il file ISO in una posizione facile da trovare. | ||
5 | Eseguire una copia di backup del file ISO sul sistema locale. Mantieni protetta la copia di backup. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limita l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||
6 | Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Modifica impostazioni. | ||
7 | Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare Datastore ISO File.
| ||
8 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti. | ||
9 | Ripetere la procedura per ogni nodo nel centro dati standby.
|
Operazioni successive
(Opzionale) Smontaggio ISO dopo configurazione HDS
La configurazione HDS standard viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS hanno rilevato la nuova configurazione.
Si utilizzano ancora i file ISO per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche alla configurazione, è possibile smontare nuovamente l'ISO con questa procedura.
Operazioni preliminari
Eseguire l'aggiornamento di tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 | Chiudere uno dei nodi HDS. |
2 | Nella vCenter Server Appliance, selezionare il nodo HDS. |
3 | Scegli Datastore ISO File. e deseleziona |
4 | Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 | Ripetere per ciascun nodo HDS a sua volta. |
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione di sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster sono irraggiungibili o se il cluster funziona così lentamente da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, avvertono i seguenti sintomi:
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
I titoli dei messaggi e dello spazio non vengono decrittografati per:
Nuovi utenti aggiunti a uno spazio (impossibile recuperare i tasti)
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fino a quando i relativi client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso | Azione |
---|---|
Errore di accesso al database locale. |
Verificare la presenza di errori nel database o problemi di rete locale. |
Errore di connessione al database locale. |
Verificare che il server del database sia disponibile e che le credenziali dell'account di servizio corretto siano state utilizzate nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato nei requisiti di connettività esterna. |
Rinnovo della registrazione del servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Rinnovo registrazione in corso. |
Registrazione servizio cloud interrotta. |
La registrazione ai servizi cloud è terminata. Il servizio è in fase di arresto. |
Servizio non ancora attivato. |
Attivare una versione di prova o terminare lo spostamento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il certificato CN è stato modificato di recente ed è ora diverso dal certificato CN utilizzato durante la configurazione iniziale. |
Impossibile eseguire l'autenticazione ai servizi cloud. |
Verificare l'accuratezza e la possibile scadenza delle credenziali dell'account servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password nel file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stato rilasciato da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso alla rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio sul riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 | Esamina Control Hub per eventuali avvisi e correggi eventuali elementi che trovi. |
2 | Rivedere l'output del server syslog per l'attività dalla distribuzione di Hybrid Data Security. |
3 | Contatta il supporto Cisco. |
Problemi noti per la sicurezza dei dati ibridi
Se si arresta il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database del keystore, gli utenti dell'app Webex non possono più utilizzare gli spazi sotto il relativo elenco di persone creati con i tasti del KMS. Ciò si applica sia alle distribuzioni di prova che di produzione. Attualmente non abbiamo una soluzione o una soluzione per questo problema e ti invitiamo a non chiudere i tuoi servizi HDS una volta che stanno gestendo account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova di sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino a quando non si spegne. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione che l'app contatta per le chiavi di crittografia.
Lo stesso comportamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti senza prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino alla rinegoziazione della connessione ECDH (attraverso timeout o attraverso la disconnessione e il back-in).
Uso di OpenSSL per generare un file PKCS12
Operazioni preliminari
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di impostazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una strada rispetto all'altra.
Se si sceglie di utilizzare OpenSSL, la presente procedura fornisce le linee guida per la creazione di un file che soddisfi i requisiti di certificato X.509 in Requisiti di certificato X.509. Capire questi requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità di certificazione (CA).
1 | Quando si riceve il certificato del server dall'autorità di certificazione, salvarlo come |
2 | Visualizzare il certificato come testo e verificare i dettagli.
|
3 | Utilizzare un editor di testo per creare un file di bundle di certificati denominato
|
4 | Creare il file .p12 con il nome amichevole
|
5 | Controllare i dettagli del certificato del server. |
Operazioni successive
Tornare a Completare i prerequisiti per la sicurezza dei dati ibridi. Si utilizzerà il hdsnode.p12
file e la password impostata, in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale. |
Traffico tra i nodi HDS e il cloud
Traffico incasso metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per heap max, heap utilizzato, caricamento CPU e conteggio thread; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
Richieste di crittografia da client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
Websocket non può connettersi tramite proxy Squid
I proxy di calamari che ispezionano il traffico HTTPS possono interferire con la creazione di websocket ( wss:
) connessioni richieste per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid da ignorare wss:
traffico per il corretto funzionamento dei servizi.
Calamaro 4 e 5
Aggiungi il on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tunnel all
Calamaro 3.5.27
Abbiamo testato con successo la sicurezza dei dati ibridi con le seguenti regole aggiunte a squid.conf
. Queste regole sono soggette a modifiche durante lo sviluppo delle funzioni e l'aggiornamento del cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Prefazione
Informazioni nuove e modificate
Data |
Modifiche effettuate |
---|---|
20 ottobre 2023 |
|
7 agosto 2023 |
|
23 maggio 2023 |
|
6 dicembre 2022 |
|
23 novembre 2022 |
|
giovedì 13 ottobre 2021 |
Docker Desktop deve eseguire un programma di impostazione prima di poter installare i nodi HDS. Vedere Requisiti del desktop Docker. |
Giovedì 24 giugno 2021 |
Tieni presente che puoi riutilizzare il file della chiave privata e il CSR per richiedere un altro certificato. Per informazioni dettagliate, vedere uso di OpenSSL per generare un file PKCS12 . |
30 aprile 2021 |
Modificato il requisito VM per lo spazio su disco rigido locale a 30 GB. Per dettagli, vedi Requisiti dell'organizzatore virtuale . |
24 febbraio 2021 |
Lo strumento di impostazione HDS ora può essere eseguito dietro un proxy. Per informazioni dettagliate, vedi Creazione di una configurazione ISO per gli host HDS . |
2 febbraio 2021 |
HDS ora può essere eseguito senza un file ISO montato. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS . |
11 gennaio 2021 |
Sono state aggiunte informazioni sullo strumento di impostazione HDS e sui proxy per creare una configurazione ISO per gli host HDS. |
13 ottobre 2020 |
Scarica file di installazione aggiornati. |
8 ottobre 2020 |
Aggiornate le opzioni Crea una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con i comandi per gli ambienti FedRAMP. |
14 agosto 2020 |
Aggiornate le opzioni Crea una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con le modifiche apportate al processo di accesso. |
5 agosto 2020 |
Aggiornamento di Test della distribuzione della sicurezza dei dati ibridi per le modifiche nei messaggi di registro. Requisiti dell'organizzatore virtuale aggiornati per rimuovere il numero massimo di organizzatori. |
16 giugno 2020 |
Aggiornata l'opzione Rimozione di un nodo per le modifiche nell'interfaccia utente di Control Hub. |
4 giugno 2020 |
Aggiornamento dell'opzione Creazione di una configurazione ISO per gli organizzatori HDS per le modifiche alle impostazioni avanzate che è possibile impostare. |
29 maggio 2020 |
Aggiornata l'opzione Crea una configurazione ISO per gli host HDS in modo da mostrare che è possibile utilizzare il protocollo TLS anche con i database SQL Server, le modifiche dell'interfaccia utente e altri chiarimenti. |
5 maggio 2020 |
Aggiornamento dei Requisiti dell'organizzatore virtuale per visualizzare il nuovo requisito di ESXi 6.5. |
21 aprile 2020 |
Requisiti di connettività esterna aggiornati con i nuovi organizzatori CI America. |
1° aprile 2020 |
Aggiornamento dei Requisiti di connettività esterna con informazioni sugli host CI regionali. |
20 febbraio 2020 | Aggiornamento di Crea una configurazione ISO per gli organizzatori HDS con le informazioni sulla nuova schermata Impostazioni avanzate opzionale nello Strumento di impostazione HDS. |
4 febbraio 2020 | Requisiti server proxy aggiornati. |
16 dicembre 2019 | È stato chiarito il requisito per il funzionamento della modalità di risoluzione DNS esterna bloccata in Requisiti server proxy. |
19 novembre 2019 |
Sono state aggiunte informazioni sulla modalità di risoluzione DNS esterna bloccata nelle seguenti sezioni: |
8 novembre 2019 |
Ora è possibile configurare le impostazioni di rete per un nodo durante la distribuzione del file OVA anziché successivamente. Sono state aggiornate le seguenti sezioni di conseguenza: L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti. |
6 settembre 2019 |
Aggiunta dello standard SQL Server a Requisiti server database. |
È il 29 agosto 2019 | Aggiunta l'appendice Configura proxy Squid per la sicurezza dei dati ibridi con una guida sulla configurazione dei proxy Squid per ignorare il traffico WebSocket per il corretto funzionamento. |
È il 20 agosto 2019 |
Aggiunte e aggiornate sezioni per coprire il supporto proxy per le comunicazioni dei nodi di sicurezza dei dati ibridi al cloud Webex. Per accedere solo al contenuto del supporto proxy per una distribuzione esistente, vedere l'articolo della Guida Supporto proxy per la sicurezza dei dati ibridi e mesh video Webex . |
13 giugno 2019 | È stato aggiornato il Flusso attività prova a produzione con un promemoria per sincronizzare l'oggetto del gruppo HdsTrialGroup prima di avviare una prova se la propria organizzazione utilizza la sincronizzazione delle rubriche. |
6 marzo 2019 |
|
28 febbraio 2019 |
|
26 febbraio 2019 |
|
24 gennaio 2019 |
|
5 novembre 2018 |
|
19 ottobre 2018 |
|
31 luglio 2018 |
|
21 maggio 2018 |
Terminologia modificata in modo da riflettere il rebranding di Cisco Webex Teams:
|
11 aprile 2018 |
|
22 febbraio 2018 |
|
15 febbraio 2018 |
|
18 gennaio 2018 |
|
2 novembre 2017 |
|
18 agosto 2017 |
Prima pubblicazione |
Introduzione alla sicurezza dei dati ibridi
Panoramica sulla sicurezza dei dati ibridi
Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.
Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.
Architettura dell'area di autenticazione di sicurezza
L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.
Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.
In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:
-
Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
-
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
-
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
-
Il messaggio crittografato viene memorizzato nell'area di storage.
Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.
Collaborazione con altre organizzazioni
Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.
Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per dettagli sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi.
Aspettative per la distribuzione della sicurezza dei dati ibridi
Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo del cliente e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.
Per distribuire la sicurezza dei dati ibridi, è necessario fornire:
-
Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
-
L'apparecchiatura, il software e l'accesso di rete descritti in .
La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:
-
Gestire il backup e il ripristino del database e la configurazione ISO.
-
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.
Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.
Processo di impostazione di alto livello
Questo documento descrive l'impostazione e la gestione di una distribuzione della sicurezza dei dati ibridi:
Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, il test della distribuzione con un sottogruppo di utenti in modalità di prova e, una volta completato il test, il passaggio alla produzione. In questo modo, l'intera organizzazione converte per utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.
Le fasi di installazione, prova e produzione sono descritte in dettaglio nei tre capitoli successivi.
-
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati su e-mail in Control Hub.
-
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.
Modello di distribuzione della sicurezza dei dati ibridi
All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.
Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.
Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).
Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.
I nodi diventano attivi quando vengono registrati in Control Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.
È supportato solo un singolo cluster per organizzazione.
Modalità di prova sicurezza dati ibridi
Dopo aver impostato una distribuzione della sicurezza dei dati ibridi, provare questa opzione con una serie di utenti pilota. Durante il periodo di prova, questi utenti utilizzano il tuo dominio di sicurezza dei dati ibridi in sede per le chiavi di crittografia e altri servizi di area di autenticazione di sicurezza. Gli altri utenti continuano a utilizzare l'area di autenticazione della sicurezza cloud.
Se si decide di non continuare la distribuzione durante la versione di prova e disattivare il servizio, gli utenti pilota e qualsiasi utente con cui hanno interagito creando nuovi spazi durante il periodo di prova perderanno l'accesso ai messaggi e al contenuto. Verrà visualizzato "Questo messaggio non può essere decrittografato" nell'app Webex.
Se si è soddisfatti che la distribuzione funzioni bene per gli utenti della versione di prova e si è pronti ad estendere la sicurezza dei dati ibridi a tutti gli utenti, trasferire la distribuzione in produzione. Gli utenti pilota continuano ad avere accesso alle chiavi in uso durante la versione di prova. Tuttavia, non è possibile spostarsi avanti e indietro tra la modalità di produzione e la versione di prova originale. Se è necessario disattivare il servizio, ad esempio per eseguire il ripristino di emergenza, quando si riattiva è necessario avviare una nuova versione di prova e impostare il gruppo di utenti pilota per la nuova versione di prova prima di tornare alla modalità di produzione. Se gli utenti mantengono l'accesso ai dati in questo momento dipende se sono stati mantenuti correttamente i backup dell'archivio dati chiave e del file di configurazione ISO per i nodi di sicurezza dei dati ibridi nel cluster.
Centro dati di standby per il ripristino di emergenza
Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.
I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover. Il file ISO del centro dati standby viene aggiornato con ulteriori configurazioni che assicurano che i nodi siano registrati nell'organizzazione, ma non gestiscano il traffico. Di conseguenza, i nodi del centro dati standby rimangono sempre aggiornati con l'ultima versione del software HDS.
I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.
Impostazione del centro dati di standby per il ripristino di emergenza
Effettuare le seguenti operazioni per configurare il file ISO del centro dati standby:
Operazioni preliminari
-
Il centro dati standby deve riflettere l'ambiente di produzione delle macchine virtuali e un database PostgreSQL o Microsoft SQL Server di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM. Per una panoramica di questo modello di failover, vedere Centro dati standby per il ripristino di emergenza .
-
Assicurati che la sincronizzazione del database sia abilitata tra il database di nodi cluster attivi e passivi.
1 |
Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS. Il file ISO deve essere una copia del file ISO originale del centro dati principale su cui devono essere effettuati i seguenti aggiornamenti di configurazione. |
2 |
Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate |
3 |
Nella pagina Impostazioni avanzate , aggiungere la configurazione seguente per posizionare il nodo in modalità passiva. In questa modalità, il nodo verrà registrato nell'organizzazione e connesso al cloud, ma non gestirà il traffico.
|
4 |
Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare. |
5 |
Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. |
6 |
Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Edit Settings (Modifica impostazioni). |
7 |
Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi. |
8 |
Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti. |
9 |
Ripetere il processo per ogni nodo nel centro dati di standby. Controllare il syslogs per verificare che i nodi siano in modalità passiva. Dovrebbe essere possibile visualizzare il messaggio "KMS configurato in modalità passiva" nei syslogs. |
Operazioni successive
Dopo aver configurato passiveMode
nel file ISO e averlo salvato, è possibile creare un'altra copia del file ISO senza la configurazione passiveMode
e salvarla in una posizione sicura. Questa copia del file ISO senza passiveMode
configurata può aiutare in un processo di failover rapido durante il ripristino di emergenza. Vedere Ripristino di emergenza tramite centro dati Standby per la procedura di failover dettagliata.
Supporto proxy
La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.
I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:
-
Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
-
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
-
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
-
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
-
IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
-
Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
-
Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
-
HTTP — Visualizza e controlla tutte le richieste che il client invia.
-
HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
-
-
Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
-
Nessuno: non è richiesta un'ulteriore autenticazione.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
-
Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
Richiede l'inserimento del nome utente e della password su ciascun nodo.
-
Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
Disponibile solo se si seleziona HTTPS come protocollo proxy.
Richiede l'inserimento del nome utente e della password su ciascun nodo.
-
-
Esempio di nodi e proxy di sicurezza dei dati ibridi
Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.
Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.
Preparazione dell'ambiente
Requisiti per la sicurezza dei dati ibridi
Requisiti licenza Cisco Webex
Per distribuire la sicurezza dei dati ibridi:
-
Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.
Requisiti Docker Desktop
Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".
Requisiti del certificato X.509
La catena di certificati deve soddisfare i seguenti requisiti:
Requisito |
Dettagli |
---|---|
|
Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs. |
|
Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata. Scegli un dominio che può essere applicato a entrambe le distribuzioni di prova e di produzione. |
|
Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni. |
|
È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS. |
Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.
Requisiti dell'host virtuale
Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:
-
Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
-
VMware ESXi 6.5 (o versione successiva) è installato e in esecuzione.
È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
-
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server
Requisiti del server di database
Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.
Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:
SQL Postgre |
Server Microsoft SQL |
---|---|
|
|
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage) |
Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:
SQL Postgre |
Server Microsoft SQL |
---|---|
Driver JDBC postgres 42.2.5 |
Driver JDBC di SQL Server 4.6 Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi). |
Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server
Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:
-
I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
-
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
-
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
-
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.
Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.
Requisiti di connettività esterna
Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:
Applicazione |
Protocollo |
Porta |
Direzione dall'app |
Destinazione |
---|---|---|---|---|
Nodi sicurezza dati ibridi |
TCP |
443 |
HTTPS e WSS in uscita |
|
Strumento di impostazione HDS |
TCP |
443 |
HTTPS in uscita |
|
I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.
Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:
Regione |
URL host identità comuni |
---|---|
America |
|
Unione Europea |
|
Canada |
|
Requisiti del server proxy
-
Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
-
Proxy trasparente — Cisco Web Security Appliance (WSA).
-
Proxy esplicito-calamaro.
I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
-
-
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
-
Nessuna autenticazione con HTTP o HTTPS
-
Autenticazione di base con HTTP o HTTPS
-
Autenticazione digest solo con HTTPS
-
-
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
-
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
-
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a
wbx2.com
eciscospark.com
risolverà il problema.
Completare i prerequisiti per la sicurezza dei dati ibridi
1 |
Accertarsi che la propria organizzazione Webex sia abilitata per Pro Pack per Cisco Webex Control Hub e ottenere le credenziali di un account con diritti di amministratore completo dell'organizzazione. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. |
2 |
Scegliere un nome di dominio per la distribuzione HDS (ad esempio, |
3 |
Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale. |
4 |
Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. |
5 |
Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM. |
6 |
Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514). |
7 |
Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico. |
8 |
Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna. |
9 |
Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. La tua organizzazione potrebbe aver bisogno di una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna. |
10 |
Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy. |
11 |
Se la propria organizzazione utilizza la sincronizzazione delle rubriche, creare un gruppo in Active Directory denominato Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Quando si selezionano gli utenti pilota, tenere presente che se si decide di disattivare in modo permanente la distribuzione della sicurezza dei dati ibridi, tutti gli utenti perdono l'accesso al contenuto negli spazi creati dagli utenti pilota. La perdita diventa evidente non appena le app degli utenti aggiornano le copie memorizzate nella cache del contenuto. |
Impostazione di un cluster di sicurezza dei dati ibridi
Flusso delle attività di distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
1 |
Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo. |
2 |
Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi. |
3 |
Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti. |
4 |
Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA. |
5 |
Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS. |
6 |
Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario. |
7 |
Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi. |
8 |
Completare l'impostazione del cluster. |
9 |
Esegui una versione di prova e passa alla produzione (capitolo successivo) Fino a quando non si avvia una versione di prova, i nodi generano un allarme per indicare che il servizio non è ancora attivato. |
Scarica file di installazione
1 |
Accedere a https://admin.webex.com, quindi fare clic su Servizi. |
2 |
Nella sezione Servizi ibridi, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Se la scheda è disabilitata o non viene visualizzata, contattare il team dell'account o l'organizzazione partner. Fornire il numero di account e chiedere di abilitare la sicurezza dei dati ibridi per la propria organizzazione. Per individuare il numero di account, fare clic sull'ingranaggio in alto a destra accanto al nome dell'organizzazione. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida della pagina Impostazioni . Nella scheda di sicurezza dei dati ibridi, fare clic su Modifica impostazioni per aprire la pagina. Quindi, fare clic su Scarica software di sicurezza dei dati ibridi nella sezione Guida . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. |
3 |
Selezionare No per indicare che non è stato ancora impostato il nodo, quindi fare clic su Avanti. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
|
4 |
Opzionalmente, fai clic su Apri Guida alla distribuzione per verificare se è disponibile una versione più recente di questa guida. |
Creazione di un ISO di configurazione per gli host HDS
Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.
Operazioni preliminari
-
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.
Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
Proxy HTTP senza autenticazione
AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA
Proxy HTTPS senza autenticazione
AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA
Proxy HTTP con autenticazione
AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA
Proxy HTTPS con autenticazione
AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA
-
Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
-
Credenziali database
-
Aggiornamenti certificati
-
Modifiche ai criteri di autorizzazione
-
-
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.
1 |
Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: In ambienti FedRAMP: Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. | ||||||||||
2 |
Per accedere al registro dell'immagine Docker, inserire quanto segue: | ||||||||||
3 |
Alla richiesta della password, immettere questo cancelletto: | ||||||||||
4 |
Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: In ambienti FedRAMP: | ||||||||||
5 |
Al termine del pull, immettere il comando appropriato per l'ambiente in uso:
Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". | ||||||||||
6 |
Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard. | ||||||||||
7 |
Quando richiesto, inserisci le credenziali di accesso amministratore del cliente Control Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi. | ||||||||||
8 |
Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione. | ||||||||||
9 |
Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:
| ||||||||||
10 |
Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.
| ||||||||||
11 |
Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave: | ||||||||||
12 |
Selezionare una Modalità di connessione al database TLS:
Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla. | ||||||||||
13 |
Nella pagina Registri di sistema, configurare il server Syslogd: | ||||||||||
14 |
(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare: | ||||||||||
15 |
Fare clic su Continua nella schermata Reimposta password account servizio . Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti. | ||||||||||
16 |
Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare. | ||||||||||
17 |
Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. | ||||||||||
18 |
Per chiudere lo strumento di impostazione, digitare |
Operazioni successive
Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.
Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.
Installazione del file OVA dell'host HDS
1 |
Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi. |
2 |
Selezionare File > Distribuisci modello OVF. |
3 |
Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti. |
4 |
Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti. |
5 |
Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello. |
6 |
Verifica i dettagli del modello, quindi fai clic su Avanti. |
7 |
Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti. |
8 |
Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM. |
9 |
Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM. |
10 |
Nella pagina Personalizza modello , configura le seguenti impostazioni di rete:
Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti. |
11 |
Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere .Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso. |
Impostare la VM di sicurezza dei dati ibridi
Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.
1 |
Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
|
2 |
Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore. |
3 |
Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione . |
4 |
Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. |
5 |
(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. |
6 |
Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate. |
Caricamento e montaggio dell'ISO di configurazione HDS
Operazioni preliminari
Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.
1 |
Caricare il file ISO dal computer: |
2 |
Montare il file ISO: |
Operazioni successive
Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .
Configurazione del nodo HDS per l'integrazione proxy
Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.
Operazioni preliminari
-
Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Registra il primo nodo nel cluster
Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.
Operazioni preliminari
-
Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
-
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 |
Accedere a https://admin.webex.com. |
2 |
Dal menu sul lato sinistro dello schermo, selezionare Servizi. |
3 |
Nella sezione Servizi ibridi, individuare la sicurezza dei dati ibridi e fare clic su Imposta. Viene visualizzata la pagina Registra nodo sicurezza dati ibridi.
|
4 |
Selezionare Sì per indicare che il nodo è stato impostato e si è pronti per registrarlo, quindi fare clic su Avanti. |
5 |
Nel primo campo, immettere un nome per il cluster a cui assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas" |
6 |
Nel secondo campo, inserisci l'indirizzo IP interno o il nome di dominio completo del nodo e fai clic su Avanti. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
|
7 |
Fai clic su Vai a nodo. |
8 |
Fare clic su Continua nel messaggio di avviso. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
|
9 |
Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
|
10 |
Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Control Hub. Nella pagina Sicurezza dati ibridi viene visualizzato il nuovo cluster contenente il nodo registrato. Il nodo scarica automaticamente l'ultimo software dal cloud.
|
Crea e registra altri nodi
In questo momento, le VM di backup create in Completare i prerequisiti per la sicurezza dei dati ibridi sono host standby che vengono utilizzati solo in caso di ripristino di emergenza; non sono registrati nel sistema fino a quel momento. Per dettagli, vedere Ripristino di emergenza tramite centro dati Standby.
Operazioni preliminari
-
Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
-
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.
1 |
Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS. |
2 |
Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi. |
3 |
Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO. |
4 |
Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo. |
5 |
Registrare il nodo. Il nodo è registrato. Tenere presente che fino a quando non si avvia una versione di prova, i nodi generano un allarme per indicare che il servizio non è ancora attivato.
|
Operazioni successive
Esegui una versione di prova e passa in produzione
Flusso attività di prova-produzione
Dopo aver impostato un cluster di sicurezza dei dati ibridi, è possibile avviare un progetto pilota, aggiungervi utenti e iniziare a utilizzarlo per il test e la verifica della distribuzione in preparazione del passaggio alla produzione.
Operazioni preliminari
1 |
Se applicabile, sincronizzare l'oggetto del gruppo Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto gruppo |
2 |
Avvia una versione di prova. Fino a quando non si esegue questa attività, i nodi generano un allarme per indicare che il servizio non è ancora attivato. |
3 |
Verifica della distribuzione della sicurezza dei dati ibridi Verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi. |
4 |
Monitoraggio dello stato della sicurezza dei dati ibridi Controllare lo stato e impostare le notifiche e-mail per gli allarmi. |
5 | |
6 |
Completare la fase di prova con una delle seguenti azioni: |
Attiva versione di prova
Operazioni preliminari
Se la propria organizzazione utilizza la sincronizzazione delle rubriche per gli utenti, è necessario selezionare l'oggetto gruppo HdsTrialGroup
per la sincronizzazione con il cloud prima di poter avviare una prova per la propria organizzazione. Per istruzioni, vedi la Guida alla distribuzione per Cisco Directory Connector.
1 |
Accedere a https://admin.webex.com e selezionare Servizi. |
2 |
In Sicurezza dati ibridi, fare clic su Impostazioni. |
3 |
Nella sezione Stato servizio, fare clic su Avvia versione di prova. Lo stato del servizio cambia in modalità di prova.
|
4 |
Fare clic su Aggiungi utenti e inserire l'indirizzo e-mail di uno o più utenti per eseguire il test utilizzando i nodi di sicurezza dei dati ibridi per i servizi di crittografia e indicizzazione. (Se la propria organizzazione utilizza la sincronizzazione delle rubriche, utilizza Active Directory per gestire il gruppo di prova, |
Verifica della distribuzione della sicurezza dei dati ibridi
Operazioni preliminari
-
Impostare la distribuzione della sicurezza dei dati ibridi.
-
Attivare la versione di prova e aggiungere diversi utenti di prova.
-
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave vengano trasferite alla distribuzione della sicurezza dei dati ibridi.
1 |
Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti pilota, quindi creare uno spazio e invitare almeno un utente pilota e uno non pilota. Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti pilota non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia. |
2 |
Invia messaggi al nuovo spazio. |
3 |
Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi. |
Monitoraggio dello stato della sicurezza dei dati ibridi
1 |
In Control Hub, seleziona Servizi dal menu sul lato sinistro dello schermo. |
2 |
Nella sezione Servizi ibridi, individuare la sicurezza dei dati ibridi e fare clic su Impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
|
3 |
Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio. |
Aggiunta o rimozione di utenti dalla versione di prova
Se si rimuove un utente dalla versione di prova, il client dell'utente richiederà le chiavi e la creazione delle chiavi da KMS cloud anziché da KMS. Se il client necessita di una chiave memorizzata su KMS, il KMS cloud la recupererà per conto dell'utente.
Se la tua organizzazione utilizza la sincronizzazione delle rubriche, utilizza Active Directory (anziché questa procedura) per gestire il gruppo di prova, HdsTrialGroup
; puoi visualizzare i membri del gruppo in Control Hub ma non puoi aggiungerli o rimuoverli.
1 |
Accedi a Control Hub e seleziona Servizi. |
2 |
In Sicurezza dati ibridi, fare clic su Impostazioni. |
3 |
Nella sezione Modalità di prova dell'area Stato servizio, fare clic su Aggiungi utenti oppure fare clic su Visualizza e modifica per rimuovere gli utenti dalla versione di prova. |
4 |
Inserire l'indirizzo e-mail di uno o più utenti da aggiungere o fare clic sulla X accanto a un ID utente per rimuovere l'utente dalla versione di prova. Quindi fare clic su Salva. |
Passa da versione di prova a produzione
1 |
Accedi a Control Hub e seleziona Servizi. |
2 |
In Sicurezza dati ibridi, fare clic su Impostazioni. |
3 |
Nella sezione Stato servizio, fare clic su Sposta in produzione. |
4 |
Conferma che desideri spostare tutti gli utenti in produzione. |
Terminare la versione di prova senza passare alla produzione
1 |
Accedi a Control Hub e seleziona Servizi. |
2 |
In Sicurezza dati ibridi, fare clic su Impostazioni. |
3 |
Nella sezione Disattiva, fare clic su Disattiva. |
4 |
Confermare che si desidera disattivare il servizio e terminare la versione di prova. |
Gestisci la distribuzione HDS
Gestisci distribuzione HDS
Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.
Imposta pianificazione aggiornamento cluster
Per impostare la pianificazione di aggiornamento:
1 |
Accedere a Control Hub. |
2 |
Nella pagina Panoramica, in Servizi ibridi, selezionare Sicurezza dati ibridi. |
3 |
Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster. |
4 |
Nel pannello Panoramica a destra, in Impostazioni cluster, selezionare il nome del cluster. |
5 |
Nella pagina Impostazioni, in Aggiorna, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile rinviare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi. |
Modifica della configurazione del nodo
-
Modifica dei certificati x.509 a causa della scadenza o di altri motivi.
La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
-
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.
La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
-
Creazione di una nuova configurazione per preparare un nuovo centro dati.
Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:
-
Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
-
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.
Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.
Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.
Operazioni preliminari
-
Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.
Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:
Descrizione
Variabile
Proxy HTTP senza autenticazione
AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA
Proxy HTTPS senza autenticazione
AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA
Proxy HTTP con autenticazione
AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA
Proxy HTTPS con autenticazione
AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA
-
È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.
1 |
Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. |
2 |
Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. |
3 |
Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: |
4 |
Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente. |
Disattiva modalità di risoluzione DNS esterna bloccata
Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.
Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.
Operazioni preliminari
1 |
In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi. |
2 |
Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì. |
3 |
Andare alla pagina Archivio attendibili e proxy . |
4 |
Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No. |
Operazioni successive
Rimuovi un nodo
1 |
Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale. |
2 |
Rimuovere il nodo: |
3 |
Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina. Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza. |
Ripristino di emergenza tramite centro dati Standby
Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.
Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:
Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.
1 |
Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS. |
2 |
Dopo aver configurato il server Syslogd, fare clic su Impostazioni avanzate |
3 |
Nella pagina Impostazioni avanzate , aggiungere la configurazione seguente o rimuovere la configurazione
|
4 |
Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare. |
5 |
Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione. |
6 |
Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic con il pulsante destro del mouse sulla VM e fare clic su Edit Settings (Modifica impostazioni). |
7 |
Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi. |
8 |
Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti. |
9 |
Ripetere il processo per ogni nodo nel centro dati di standby. Controllare l'output syslog per verificare che i nodi del centro dati standby non siano in modalità passiva. Il messaggio "KMS configurato in modalità passiva" non deve essere visualizzato nei syslogs. |
Operazioni successive
(Opzionale) Smontaggio di ISO dopo la configurazione HDS
La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.
I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.
Operazioni preliminari
Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.
1 |
Arrestare uno dei nodi HDS. |
2 |
Nell'applicazione vCenter Server, selezionare il nodo HDS. |
3 |
Scegliere File ISO Datastore. e deselezionare |
4 |
Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti. |
5 |
Ripetere a turno per ciascun nodo HDS. |
Risoluzione dei problemi di sicurezza dei dati ibridi
Visualizzazione di avvisi e risoluzione dei problemi
Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:
-
Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
-
Impossibile decrittografare messaggi e titoli degli spazi per:
-
Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
-
Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
-
-
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia
È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.
Avvisi
Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Control Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.
Avviso |
Azione |
---|---|
Errore di accesso al database locale. |
Verificare la presenza di errori del database o problemi di rete locale. |
Errore di connessione al database locale. |
Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo. |
Errore di accesso al servizio cloud. |
Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna. |
Rinnovo della registrazione al servizio cloud. |
La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso. |
Registrazione servizio cloud interrotta. |
Registrazione per servizi cloud terminata. Arresto del servizio in corso. |
Servizio non ancora attivato. |
Attiva una versione di prova o termina il trasferimento della versione di prova in produzione. |
Il dominio configurato non corrisponde al certificato del server. |
Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale. |
Impossibile eseguire l'autenticazione per i servizi cloud. |
Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio. |
Impossibile aprire il file del keystore locale. |
Verificare l'integrità e l'accuratezza della password sul file del keystore locale. |
Certificato del server locale non valido. |
Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile. |
Impossibile pubblicare le metriche. |
Controllare l'accesso di rete locale ai servizi cloud esterni. |
La directory /media/configdrive/hds non esiste. |
Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente. |
Risoluzione dei problemi di sicurezza dei dati ibridi
1 |
Esamina Control Hub per eventuali avvisi e correggi eventuali elementi disponibili. |
2 |
Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. |
3 |
Contatta il supporto Cisco. |
Altre note
Problemi noti per la sicurezza dei dati ibridi
-
Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Control Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex non potranno più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Ciò si applica sia alle distribuzioni di prova che a quelle di produzione. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
-
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora). Quando un utente diventa membro di una versione di prova della sicurezza dei dati ibridi, il client dell'utente continua a utilizzare la connessione ECDH esistente fino al timeout. In alternativa, l'utente può disconnettersi e accedere nuovamente all'app Webex per aggiornare la posizione in cui l'app contatta per le chiavi di crittografia.
Lo stesso funzionamento si verifica quando si sposta una versione di prova in produzione per l'organizzazione. Tutti gli utenti non di prova con connessioni ECDH esistenti ai precedenti servizi di sicurezza dei dati continueranno a utilizzare tali servizi fino a quando la connessione ECDH non viene rinegoziata (durante il timeout o disconnettendosi e accedendo nuovamente).
Utilizzare OpenSSL per generare un file PKCS12
Operazioni preliminari
-
OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
-
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
-
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
-
Creare una chiave privata.
-
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).
1 |
Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come |
2 |
Visualizzare il certificato come testo e verificare i dettagli.
|
3 |
Utilizzare un editor di testo per creare un file bundle di certificati denominato
|
4 |
Creare il file .p12 con il nome descrittivo
|
5 |
Controllare i dettagli del certificato del server. |
Operazioni successive
Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12
e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.
È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.
Traffico tra i nodi HDS e il cloud
Traffico raccolta metriche in uscita
I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).
Traffico in entrata
I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:
-
Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
-
Aggiornamenti al software del nodo
Configurazione dei proxy Squid per la sicurezza dei dati ibridi
WebSocket non può connettersi attraverso il proxy Squid
I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:
) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS:
traffico per il corretto funzionamento dei servizi.
Calamari 4 e 5
Aggiungere la on_unsupported_protocol
direttiva a squid.conf
:
on_unsupported_protocol tunnel tutto
3.5.27 di calamari
La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf
. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.
acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti