Guida alla distribuzione per la sicurezza dei dati ibrida multi-tenant (HDS) (Beta)

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
13 dicembre 2024	Prima versione.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

***Domini di separazione (senza sicurezza dati ibridi)***

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

Prima del failover, il centro dati A dispone di nodi HDS attivi e del database PostgreSQL o Microsoft SQL Server primario, mentre B dispone di una copia del file ISO con configurazioni aggiuntive, VM registrate nell'organizzazione e un database standby. Dopo il failover, il centro dati B dispone di nodi HDS attivi e del database principale, mentre A dispone di VM non registrate e di una copia del file ISO e il database è in modalità standby. — ***Failover manuale su centro dati Standby***

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 6.5 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre	Server Microsoft SQL
Driver JDBC postgres 42.2.5	Driver JDBC di SQL Server 4.6 Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub, quindi fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stabile

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

accesso docker -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stabile

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxDimensioni: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL + C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 6.5. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `Amministrazione` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserire l'URL di installazione del nodo HDS `https://[IP node HDS o nome di dominio completo]/Setup` in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL + C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `Unità CD/DVD 1`, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave: Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA----- -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
8 gennaio 2025	Aggiunta una nota in Esecuzione dell'impostazione iniziale e download dei file di installazione a indicare che fare clic su Imposta sulla scheda HDS in Partner Hub è una fase importante del processo di installazione.
7 gennaio 2025	Aggiornati i Requisiti host virtuali, il Flusso attività di distribuzione della sicurezza dei dati ibridi e l'Installazione del file OVA dell'host HDS per visualizzare il nuovo requisito di ESXi 7.0.
13 dicembre 2024	Prima pubblicata.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 7.0 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre	Server Microsoft SQL
Driver JDBC postgres 42.2.5	Driver JDBC di SQL Server 4.6 Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub, quindi fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza completare questa operazione.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stabile

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

accesso docker -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stabile

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxDimensioni: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL + C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `Amministrazione` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserire l'URL di installazione del nodo HDS `https://[IP node HDS o nome di dominio completo]/Setup` in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL + C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `Unità CD/DVD 1`, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave: Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA----- -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
8 gennaio 2025	Aggiunta una nota in Esecuzione dell'impostazione iniziale e download dei file di installazione a indicare che fare clic su Imposta sulla scheda HDS in Partner Hub è una fase importante del processo di installazione.
7 gennaio 2025	Aggiornati i Requisiti host virtuali, il Flusso attività di distribuzione della sicurezza dei dati ibridi e l'Installazione del file OVA dell'host HDS per visualizzare il nuovo requisito di ESXi 7.0.
13 dicembre 2024	Prima pubblicata.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 7.0 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub, quindi fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza completare questa operazione.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stabile

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

accesso docker -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stabile

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxDimensioni: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL + C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `Amministrazione` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserire l'URL di installazione del nodo HDS `https://[IP node HDS o nome di dominio completo]/Setup` in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL + C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `Unità CD/DVD 1`, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave: Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA----- -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
8 gennaio 2025	Aggiunta una nota in Esecuzione dell'impostazione iniziale e download dei file di installazione a indicare che fare clic su Imposta sulla scheda HDS in Partner Hub è una fase importante del processo di installazione.
7 gennaio 2025	Aggiornati i Requisiti host virtuali, il Flusso attività di distribuzione della sicurezza dei dati ibridi e l'Installazione del file OVA dell'host HDS per visualizzare il nuovo requisito di ESXi 7.0.
13 dicembre 2024	Prima pubblicata.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 7.0 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub, quindi fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza completare questa operazione.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stabile

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

accesso docker -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stabile

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxDimensioni: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL + C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `Amministrazione` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserire l'URL di installazione del nodo HDS `https://[IP node HDS o nome di dominio completo]/Setup` in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL + C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `Unità CD/DVD 1`, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave: Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA----- -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
15 gennaio 2025	Aggiunte limitazioni della sicurezza dei dati ibridi multi-tenant.
8 gennaio 2025	Aggiunta una nota in Esecuzione dell'impostazione iniziale e download dei file di installazione a indicare che fare clic su Imposta sulla scheda HDS in Partner Hub è una fase importante del processo di installazione.
7 gennaio 2025	Aggiornati i Requisiti host virtuali, il Flusso attività di distribuzione della sicurezza dei dati ibridi e l'Installazione del file OVA dell'host HDS per visualizzare il nuovo requisito di ESXi 7.0.
13 dicembre 2024	Prima pubblicata.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Limitazioni della sicurezza dei dati ibridi multi-tenant

Le organizzazioni partner non devono avere distribuzioni HDS esistenti attive in Control Hub.
Le organizzazioni di tenant o clienti che desiderano essere gestite da un partner non devono disporre di distribuzioni HDS esistenti in Control Hub.
Una volta distribuito l'HDS multi-tenant dal partner, tutti gli utenti delle organizzazioni dei clienti e gli utenti dell'organizzazione partner iniziano a sfruttare l'HDS multi-tenant per i relativi servizi di crittografia.

L'organizzazione partner e le organizzazioni dei clienti che gestiscono saranno nella stessa distribuzione HDS multi-tenant.

L'organizzazione partner non utilizzerà più KMS cloud una volta distribuito l'HDS multi-tenant.
Non è presente alcun meccanismo per riportare le chiavi a KMS cloud dopo una distribuzione HDS.
Attualmente, ciascuna distribuzione HDS multi-tenant può avere un solo cluster, con più nodi sotto di esso.
I ruoli di amministratore presentano alcune limitazioni; per informazioni dettagliate, vedere la sezione seguente.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 7.0 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017 o 2019 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub e fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza completare questa operazione.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stabile

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

accesso docker -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stabile

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxDimensioni: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL + C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `Amministrazione` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserire l'URL di installazione del nodo HDS `https://[IP node HDS o nome di dominio completo]/Setup` in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL + C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `Unità CD/DVD 1`, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave: Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA----- -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
30 gennaio 2025	Aggiunta della versione 2022 del server SQL all'elenco dei server SQL supportati in Requisiti server database.
15 gennaio 2025	Aggiunte limitazioni della sicurezza dei dati ibridi multi-tenant.
8 gennaio 2025	Aggiunta una nota in Esecuzione dell'impostazione iniziale e download dei file di installazione a indicare che fare clic su Imposta sulla scheda HDS in Partner Hub è una fase importante del processo di installazione.
7 gennaio 2025	Aggiornati i Requisiti host virtuali, il Flusso attività di distribuzione della sicurezza dei dati ibridi e l'Installazione del file OVA dell'host HDS per visualizzare il nuovo requisito di ESXi 7.0.
13 dicembre 2024	Prima pubblicata.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Limitazioni della sicurezza dei dati ibridi multi-tenant

Le organizzazioni partner non devono avere distribuzioni HDS esistenti attive in Control Hub.
Le organizzazioni di tenant o clienti che desiderano essere gestite da un partner non devono disporre di distribuzioni HDS esistenti in Control Hub.
Una volta distribuito l'HDS multi-tenant dal partner, tutti gli utenti delle organizzazioni dei clienti e gli utenti dell'organizzazione partner iniziano a sfruttare l'HDS multi-tenant per i relativi servizi di crittografia.

L'organizzazione partner e le organizzazioni dei clienti che gestiscono saranno nella stessa distribuzione HDS multi-tenant.

L'organizzazione partner non utilizzerà più KMS cloud una volta distribuito l'HDS multi-tenant.
Non è presente alcun meccanismo per riportare le chiavi a KMS cloud dopo una distribuzione HDS.
Attualmente, ciascuna distribuzione HDS multi-tenant può avere un solo cluster, con più nodi sotto di esso.
I ruoli di amministratore presentano alcune limitazioni; per informazioni dettagliate, vedere la sezione seguente.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 7.0 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017, 2019 o 2022 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub e fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza completare questa operazione.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stabile

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

accesso docker -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stabile

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxDimensioni: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL + C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `Amministrazione` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserire l'URL di installazione del nodo HDS `https://[IP node HDS o nome di dominio completo]/Setup` in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL + C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `Unità CD/DVD 1`, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave: Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA----- -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
30 gennaio 2025	Aggiunta della versione 2022 del server SQL all'elenco dei server SQL supportati in Requisiti server database.
15 gennaio 2025	Aggiunte limitazioni della sicurezza dei dati ibridi multi-tenant.
8 gennaio 2025	Aggiunta una nota in Esecuzione dell'impostazione iniziale e download dei file di installazione a indicare che fare clic su Imposta sulla scheda HDS in Partner Hub è una fase importante del processo di installazione.
7 gennaio 2025	Aggiornati i Requisiti host virtuali, il Flusso attività di distribuzione della sicurezza dei dati ibridi e l'Installazione del file OVA dell'host HDS per visualizzare il nuovo requisito di ESXi 7.0.
13 dicembre 2024	Prima pubblicata.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Limitazioni della sicurezza dei dati ibridi multi-tenant

Le organizzazioni partner non devono avere distribuzioni HDS esistenti attive in Control Hub.
Le organizzazioni di tenant o clienti che desiderano essere gestite da un partner non devono disporre di distribuzioni HDS esistenti in Control Hub.
Una volta distribuito l'HDS multi-tenant dal partner, tutti gli utenti delle organizzazioni dei clienti e gli utenti dell'organizzazione partner iniziano a sfruttare l'HDS multi-tenant per i relativi servizi di crittografia.

L'organizzazione partner e le organizzazioni dei clienti che gestiscono saranno nella stessa distribuzione HDS multi-tenant.

L'organizzazione partner non utilizzerà più KMS cloud una volta distribuito l'HDS multi-tenant.
Non è presente alcun meccanismo per riportare le chiavi a KMS cloud dopo una distribuzione HDS.
Attualmente, ciascuna distribuzione HDS multi-tenant può avere un solo cluster, con più nodi sotto di esso.
I ruoli di amministratore presentano alcune limitazioni; per informazioni dettagliate, vedere la sezione seguente.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 7.0 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017, 2019 o 2022 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub e fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza completare questa operazione.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stabile

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

accesso docker -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stabile

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stabile

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato nomeutente@DOMINIO nel campo Nome utente .
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario inserire un nome di dominio completo nel formato dbhost.esempio.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxDimensioni: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL + C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `Amministrazione` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio da un file ISO del datastore e selezionare la posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserire l'URL di installazione del nodo HDS `https://[IP node HDS o nome di dominio completo]/Setup` in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare che un utente stabilisca prima un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=RACCOLTA_CHIAVE TEMPORANEA_:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_VerificaId=HdsIntTest_f[~]0, kms.data.method=recupera, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHIAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:RICHIESTA] ricevuta, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://SERVER_IP:PORTA`
Proxy HTTPS senza autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://SERVER_IP:PORTA`
Proxy HTTP con autenticazione	`AGENTE GLOBALE__HTTP_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`
Proxy HTTPS con autenticazione	`AGENTE_GLOBALE_HTTPS_PROXY=http://NOMEUTENTE:PASSWORD@SERVER_IP:PORTA`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stabile` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `accesso docker -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stabile` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stabile` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabile` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTA CISCOCITG/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL + C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `Unità CD/DVD 1`, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Certificato server. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA intermedio. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificato CA radice. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Inserisci password di importazione: MAC verificato OK Bag Attributi friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributi chiave: Inserisci passphrase PEM: Verifica - Inserisci la passphrase PEM: -----INIZIA CHIAVE PRIVATA CRITTOGRAFATA----- -----TERMINA CHIAVE PRIVATA CRITTOGRAFATA----- Attributi borsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Crittografare autorità X3,O=Crittografare,C=US subject=/C=US/O=Crittografare/CN=Crittografare autorità X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il file hdsnode.p12 e la password impostata verranno utilizzati in Crea una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercurio-connessione ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tutti ssl_bump stare step2 tutti ssl_bump bump step3 tutti

Informazioni nuove e modificate

Questa tabella descrive le nuove funzionalità, le modifiche al contenuto esistente e qualsiasi errore principale corretto nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche effettuate
4 marzo 2025	Aggiunta la sezione Esegui lo strumento di impostazione HDS utilizzando il desktop Podman . Aggiunta una nota in Requisiti desktop Docker che fornisce ai clienti un'opzione open source alternativa. Aggiornate le sezioni Creazione di una configurazione ISO per gli host HDS e Modifica della configurazione del nodo con le istruzioni per l'uso del desktop Podman per i clienti senza una licenza Docker Desktop.
30 gennaio 2025	Aggiunta della versione 2022 del server SQL all'elenco dei server SQL supportati in Requisiti server database.
15 gennaio 2025	Aggiunte Limitazioni della sicurezza dei dati ibridi multi-tenant.
8 gennaio 2025	Aggiunta una nota in Esecuzione dell'impostazione iniziale e download dei file di installazione a indicare che fare clic su Imposta sulla scheda HDS in Partner Hub è una fase importante del processo di installazione.
7 gennaio 2025	Aggiornati i Requisiti host virtuali, il Flusso attività di distribuzione della sicurezza dei dati ibridi e l'Installazione del file OVA dell'host HDS per visualizzare il nuovo requisito di ESXi 7.0.
13 dicembre 2024	Prima pubblicata.

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Attenersi a questa procedura per disattivare completamente l'HDS multi-tenant.

Operazioni preliminari

Questa attività deve essere eseguita solo da un amministratore completo del partner.

1	Rimuovi tutti i clienti da tutti i cluster, come menzionato in Rimuovi organizzazioni tenant.
2	Revocare i CMK di tutti i clienti, come menzionato in Revoca dei tenant rimossi da HDS.
3	Rimuovere tutti i nodi da tutti i cluster, come menzionato in Rimozione di un nodo.
4	Elimina tutti i cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo superiore destro della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica sulla sicurezza dei dati ibridi e fare clic su Disattiva HDS nella scheda di stato HDS.

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale della progettazione dell'app Webex. La pietra miliare di questa sicurezza è la crittografia dei contenuti end-to-end, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con i tasti dinamici memorizzati nel KMS cloud, nell'area di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

Sicurezza dei dati ibridi multi-tenant consente alle organizzazioni di sfruttare HDS attraverso un partner locale affidabile, che può agire come provider di servizi e gestire crittografia locale e altri servizi di sicurezza. Questa impostazione consente all'organizzazione partner di avere il controllo completo sulla distribuzione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni dei clienti siano al sicuro dall'accesso esterno. Le organizzazioni partner impostano le istanze HDS e creano cluster HDS come necessario. Ciascuna istanza può supportare più organizzazioni di clienti diversamente da una distribuzione HDS normale, limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo su distribuzione e gestione, non hanno accesso a dati e contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni dei clienti e ai relativi utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare l'HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i centri dati, sono di proprietà del partner locale affidabile.

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Il contenuto generato dall'utente è protetto dall'accesso esterno, come i provider di servizi cloud.
I partner attendibili locali gestiscono le chiavi di crittografia dei clienti con i quali hanno già una relazione consolidata.
Opzione per il supporto tecnico locale, se fornita dal partner.
Supporta contenuti Meetings, Messaging e Calling.

Il presente documento intende aiutare le organizzazioni partner a impostare e gestire i clienti con un sistema di sicurezza dei dati ibridi multi-tenant.

Limitazioni della sicurezza dei dati ibridi multi-tenant

Le organizzazioni partner non devono avere distribuzioni HDS esistenti attive in Control Hub.
Le organizzazioni di tenant o clienti che desiderano essere gestite da un partner non devono disporre di distribuzioni HDS esistenti in Control Hub.
Una volta distribuito l'HDS multi-tenant dal partner, tutti gli utenti delle organizzazioni dei clienti e gli utenti dell'organizzazione partner iniziano a sfruttare l'HDS multi-tenant per i relativi servizi di crittografia.

L'organizzazione partner e le organizzazioni dei clienti che gestiscono saranno nella stessa distribuzione HDS multi-tenant.

L'organizzazione partner non utilizzerà più KMS cloud una volta distribuito l'HDS multi-tenant.
Non è presente alcun meccanismo per riportare le chiavi a KMS cloud dopo una distribuzione HDS.
Attualmente, ciascuna distribuzione HDS multi-tenant può avere un solo cluster, con più nodi sotto di esso.
I ruoli di amministratore presentano alcune limitazioni; per informazioni dettagliate, vedere la sezione seguente.

Ruoli nella sicurezza dei dati ibridi multi-tenant

Amministratore completo partner : può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner : può gestire le impostazioni per i clienti predisposti dall'amministratore o assegnati all'utente.
Amministratore completo : amministratore dell'organizzazione partner autorizzato a eseguire attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione di ruoli.

Impostazione e gestione di HDS multi-tenant end-to-end di tutte le organizzazioni dei clienti : sono richiesti diritti di amministratore completo partner e amministratore completo.
Gestione organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e amministratore completo.

Architettura dell'area di autenticazione di sicurezza

L'architettura cloud Webex separa diversi tipi di servizio in domini separati o domini attendibili, come illustrato di seguito.

Per comprendere meglio la sicurezza dei dati ibridi, diamo un'occhiata a questo caso cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente correlati con le proprie informazioni personali come l'indirizzo e-mail, è logicamente e fisicamente separato dall'area di autenticazione di sicurezza nel centro dati B. Entrambi sono a loro volta separati dall'area di autenticazione in cui il contenuto crittografato viene archiviato, nel centro dati C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, vengono eseguite le seguenti operazioni:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione protetta utilizza ECDH e KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le ricerche future del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene memorizzato nell'area di storage.

Quando si distribuisce la sicurezza dei dati ibridi, si spostano le funzioni dell'area di autenticazione di sicurezza (KMS, indicizzazione e conformità) al centro dati locale. Gli altri servizi cloud che costituiscono Webex (inclusa identità e storage di contenuto) rimangono nei regni di Cisco.

Collaborazione con altre organizzazioni

Gli utenti nella tua organizzazione possono utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché è stato creato da uno dei tuoi utenti), il KMS invia la chiave al client su un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato, quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'Organizzazione A convalida le connessioni ai KMS in altre organizzazioni utilizzando i certificati PKI x.509. Vedere Preparazione dell'ambiente per informazioni dettagliate sulla generazione di un certificato x.509 da utilizzare con la distribuzione della sicurezza dei dati ibridi multi-tenant.

Aspettative per la distribuzione della sicurezza dei dati ibridi

Una distribuzione della sicurezza dei dati ibridi richiede un impegno significativo e una consapevolezza dei rischi associati alla proprietà di chiavi di crittografia.

Per distribuire la sicurezza dei dati ibridi, è necessario fornire:

Un centro dati sicuro in un paese che è una posizione supportata per i piani Cisco Webex Teams.
L'apparecchiatura, il software e l'accesso di rete descritti in Preparazione dell'ambiente.

La perdita completa dell'ISO di configurazione creato per la sicurezza dei dati ibridi o del database fornito comporterà la perdita delle chiavi. La perdita di chiavi impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione ma solo il nuovo contenuto sarà visibile. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e la configurazione ISO.
Prepararsi a eseguire il ripristino di emergenza rapido in caso di catastrofe, come un guasto del disco del database o un disastro del centro dati.

Non è presente alcun meccanismo per spostare nuovamente i tasti nel cloud dopo una distribuzione HDS.

Processo di impostazione di alto livello

Questo documento descrive l'impostazione e la gestione di una distribuzione di sicurezza dei dati ibridi multi-tenant:

Imposta la sicurezza dei dati ibridi: include la preparazione dell'infrastruttura richiesta e l'installazione del software di sicurezza dei dati ibridi, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle chiavi principali dei clienti (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni clienti di utilizzare il cluster di sicurezza dei dati ibridi per le funzioni di sicurezza.

Le fasi di impostazione, attivazione e gestione sono descritte in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi: il cloud Webex fornisce automaticamente aggiornamenti continui. Il reparto IT può fornire supporto di primo livello per questa distribuzione e coinvolgere il supporto Cisco in base alle esigenze. Puoi utilizzare le notifiche sullo schermo e impostare gli avvisi basati sull'e-mail in Partner Hub.
Comprendi avvisi comuni, operazioni di risoluzione dei problemi e problemi noti: se si verificano problemi di distribuzione o uso della sicurezza dei dati ibridi, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del centro dati aziendale, distribuire la sicurezza dei dati ibridi come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex attraverso websocket sicuri e HTTP sicuri.

Durante il processo di installazione, viene fornito il file OVA per impostare l'applicazione virtuale sulle macchine virtuali fornite. Lo strumento di impostazione HDS consente di creare un file ISO di configurazione del cluster personalizzato che viene montato su ciascun nodo. Il cluster di sicurezza dei dati ibridi utilizza il server Syslogd e il database di PostgreSQL o Microsoft SQL Server fornito. I dettagli della connessione a Syslogd e al database vengono configurati nello strumento di configurazione HDS.

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Sono consigliati almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento del software o un'altra attività di manutenzione su un nodo. (il cloud Webex aggiorna solo un nodo alla volta).

Tutti i nodi in un cluster accedono allo stesso datastore chiave e attività di log sullo stesso server syslog. I nodi stessi sono apolidi e gestiscono richieste chiave in modo a tutto tondo, come indicato dal cloud.

I nodi diventano attivi quando vengono registrati in Partner Hub. Per disattivare un singolo nodo dal servizio, è possibile annullarne la registrazione e, in seguito, se necessario.

Centro dati di standby per il ripristino di emergenza

Durante la distribuzione, è possibile impostare un centro dati standby protetto. In caso di emergenza del centro dati, è possibile eseguire manualmente il failover della distribuzione al centro dati di standby.

I database dei centri dati attivi e in standby sono sincronizzati l'uno con l'altro, riducendo al minimo il tempo necessario per eseguire il failover.

I nodi di sicurezza dei dati ibridi attivi devono essere sempre nello stesso centro dati del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy: impostazione predefinita se non si utilizza la configurazione dell'archivio attendibilità e del proxy di impostazione del nodo HDS per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
Tunnel trasparente o proxy di ispezione: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito: con il proxy esplicito, si comunica ai nodi HDS quali server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy.
3. Protocollo proxy: a seconda del supporto del server proxy, scegliere tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione:
  - Nessuno: non è richiesta un'ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Per distribuire la sicurezza dei dati ibridi multi-tenant:

Organizzazioni partner: Contattare il partner Cisco o il responsabile dell'account e assicurarsi che la funzione multi-tenant sia abilitata.
Organizzazioni tenant: Devi disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti Docker Desktop

Prima di installare i nodi HDS, è necessario Docker Desktop per eseguire un programma di impostazione. Docker ha recentemente aggiornato il modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

I clienti senza una licenza Docker Desktop possono utilizzare uno strumento di gestione dei container open source come Podman Desktop per eseguire, gestire e creare container. Per informazioni dettagliate, vedi Esecuzione dello strumento di impostazione HDS tramite Podman Desktop .

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per la distribuzione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione attendibile (CA)	Per impostazione predefinita, le CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) su https://wiki.mozilla.org/CA:IncludedCAs.
Contiene un nome di dominio comune (CN) che identifica la distribuzione del servizio di sicurezza dei dati ibridi Non è un certificato con caratteri jolly	Il CN non deve essere raggiungibile o essere un organizzatore in diretta. Si consiglia di utilizzare un nome che riflette la propria organizzazione, ad esempio, `hds.company.com`. Il CN non deve contenere * (carattere jolly). Il CN viene utilizzato per verificare i nodi di sicurezza dei dati ibridi nei client dell'app Webex. Tutti i nodi di sicurezza dei dati ibridi nel cluster utilizzano lo stesso certificato. Il KMS si identifica utilizzando il dominio CN, non qualsiasi dominio definito nei campi x.509v3 SAN. Una volta registrato un nodo con questo certificato, la modifica del nome di dominio CN non è supportata.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come file PKCS #12 protetto da password Utilizzare il nome descrittivo di `kms-private-key` per contrassegnare il certificato, la chiave privata e qualsiasi certificato intermedio da caricare.	È possibile utilizzare un convertitore come OpenSSL per modificare il formato del certificato. Sarà necessario immettere la password quando si esegue lo strumento di impostazione HDS.

Il software KMS non applica l'utilizzo delle chiavi o vincoli estesi di utilizzo delle chiavi. Alcune autorità di certificazione richiedono l'applicazione di vincoli estesi di utilizzo della chiave a ciascun certificato, ad esempio l'autenticazione del server. È accettabile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster hanno i seguenti requisiti:

Almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro
VMware ESXi 7.0 (o versione successiva) è installato e in esecuzione.

È necessario eseguire l'aggiornamento se si dispone di una versione precedente di ESXi.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per lo storage delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Sono disponibili due opzioni per il server di database. I requisiti per ciascuno di essi sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
SQL Postgre	Server Microsoft SQL
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017, 2019 o 2022 (Enterprise o Standard) installato. SQL Server 2016 richiede il Service Pack 2 e l'aggiornamento cumulativo 2 o successivo.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (2 TB consigliati se si desidera eseguire il database per un lungo periodo di tempo senza dover aumentare lo storage)

Il software HDS installa attualmente le seguenti versioni dei driver per la comunicazione con il server di database:

SQL Postgre

Server Microsoft SQL

Driver JDBC postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On (Istanze cluster di failover sempre attive e Gruppi di disponibilità sempre attivi).

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione Windows per accedere al database di keystore su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve disporre di accesso di lettura/scrittura al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS su Microsoft SQL Server come Service Principal Name (SPN) in Active Directory. Vedere Registrazione di un nome principale servizio per Kerberos Connections.

Lo strumento di configurazione HDS, il launcher HDS e KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database delle keystore. Utilizzano i dettagli della configurazione ISO per costruire il SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configurare il firewall in modo da consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Direzione dall'app	Destinazione
Nodi sicurezza dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli organizzatori Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex dei Requisiti di rete per i servizi Webex
Strumento di impostazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli organizzatori Common Identity hub.docker.com

I nodi di sicurezza dei dati ibridi funzionano con la traduzione dell'accesso di rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consenta le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata ai nodi di sicurezza dei dati ibridi, non è necessario che siano visibili da Internet. All'interno del centro dati, i client devono accedere ai nodi di sicurezza dei dati ibridi sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici della regione. Questi sono gli host CI correnti:

Regione	URL host identità comuni
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:). Per risolvere questo problema, vedere Configurazione dei proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, bypassando (senza ispezionare) il traffico a wbx2.com e ciscospark.com il problema verrà risolto.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizzare questa lista di controllo per assicurarsi di essere pronti a installare e configurare il cluster di sicurezza dei dati ibridi.

1	Assicurarsi che l'organizzazione partner disponga della funzione HDS multi-tenant abilitata e ottenere le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Contattare il partner Cisco o il responsabile dell'account per assistenza con questo processo. Le organizzazioni dei clienti non devono disporre di distribuzioni HDS esistenti.
2	Scegliere un nome di dominio per la distribuzione HDS (ad esempio, `hds.company.com`) e ottenere una catena di certificati contenente un certificato X.509, una chiave privata e qualsiasi certificato intermedio. La catena di certificati deve soddisfare i requisiti di Requisiti certificati X.509.
3	Preparare gli organizzatori virtuali identici che verranno impostati come nodi di sicurezza dei dati ibridi nel cluster. È necessario almeno due host separati (3 sono consigliati) co-posizionati nello stesso centro dati sicuro, che soddisfino i requisiti in Requisiti host virtuale.
4	Preparare il server di database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server di database. Il server di database deve essere co-posizionato nel centro dati sicuro con gli host virtuali. Creare un database per lo storage delle chiavi. È necessario creare questo database, non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database). Raccogliere i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per lo storage delle chiavi nome utente e password di un utente con tutti i privilegi nel database di storage delle chiavi
5	Per un rapido ripristino di emergenza, impostare un ambiente di backup in un centro dati diverso. L'ambiente di backup rispecchia l'ambiente di produzione di VM e un server di database di backup. Ad esempio, se la produzione dispone di 3 VM con nodi HDS, l'ambiente di backup deve disporre di 3 VM.
6	Impostare un host syslog per raccogliere i registri dai nodi nel cluster. Acquisire l'indirizzo di rete e la porta syslog (il valore predefinito è UDP 514).
7	Creare un criterio di backup sicuro per i nodi di sicurezza dei dati ibridi, il server del database e l'host syslog. Per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi di sicurezza dei dati ibridi. Poiché i nodi di sicurezza dei dati ibridi memorizzano le chiavi utilizzate nella crittografia e decrittografia del contenuto, il mancato mantenimento di una distribuzione operativa comporterà la PERDITA IRREVERSIBILE di tale contenuto. I client dell'app Webex memorizzano nella cache le chiavi, pertanto un'interruzione potrebbe non essere immediatamente visibile, ma diventerà evidente nel tempo. Sebbene sia impossibile prevenire interruzioni temporanee, sono recuperabili. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione comporterà dati dei clienti irrecuperabili. Gli operatori dei nodi di Hybrid Data Security devono mantenere frequenti backup del database e del file ISO di configurazione ed essere preparati a ricostruire il centro dati di Hybrid Data Security in caso di errore catastrofico.
8	Assicurarsi che la configurazione del firewall consenta la connettività per i nodi di sicurezza dei dati ibridi come descritto in Requisiti di connettività esterna.
9	Installare Docker ( https://www.docker.com) su qualsiasi macchina locale in cui sia in esecuzione un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o superiore) con un browser Web che può accedervi all'indirizzo http://127.0.0.1:8080. È possibile utilizzare l'istanza Docker per scaricare ed eseguire lo strumento di impostazione HDS, che crea le informazioni di configurazione locale per tutti i nodi di sicurezza dei dati ibridi. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti del desktop Docker . Per installare ed eseguire lo strumento di impostazione HDS, la macchina locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si sta integrando un proxy con la sicurezza dei dati ibridi, accertarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire l'impostazione iniziale e scaricare i file di installazione Scaricare il file OVA sul computer locale per un utilizzo successivo.
2	Creazione di un ISO di configurazione per gli host HDS Utilizzare lo strumento di impostazione HDS per creare un file di configurazione ISO per i nodi di sicurezza dei dati ibridi.
3	Installazione del file OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Impostare la VM di sicurezza dei dati ibridi Eseguire l'accesso alla console VM e impostare le credenziali di accesso. Configurare le impostazioni di rete per il nodo se non sono state configurate al momento della distribuzione OVA.
5	Caricamento e montaggio dell'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con lo strumento di impostazione HDS.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che si utilizzerà per il nodo e aggiungere il certificato proxy all'archivio attendibilità, se necessario.
7	Registra il primo nodo nel cluster Registrare la VM con il cloud Cisco Webex come nodo di sicurezza dei dati ibridi.
8	Crea e registra altri nodi Completare l'impostazione del cluster.
9	Attiva HDS multi-tenant su Partner Hub. Attiva HDS e gestisci organizzazioni tenant su Partner Hub.

Eseguire l'impostazione iniziale e scaricare i file di installazione

In questa attività, scaricare un file OVA sul computer (non sui server impostati come nodi di sicurezza dei dati ibridi). Il file verrà utilizzato successivamente nel processo di installazione.

1	Accedi a Partner Hub e fai clic su Servizi.
2	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi, quindi fare clic su Imposta. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza completare questa operazione.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software . Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti della sicurezza dei dati ibridi. Ciò può provocare problemi durante l'aggiornamento dell'applicazione. Accertarsi di scaricare l'ultima versione del file OVA. È anche possibile scaricare il file OVA in qualsiasi momento dalla sezione Guida . Fare clic su Impostazioni > Guida > Scarica software di sicurezza dei dati ibridi. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Opzionalmente, fai clic su Vedi Guida alla distribuzione del servizio di sicurezza dei dati ibridi per verificare se è disponibile una versione più recente di questa guida.

Creazione di un ISO di configurazione per gli host HDS

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi.

Se non si dispone di una licenza Docker Desktop, è possibile utilizzare Podman Desktop per eseguire lo strumento di impostazione HDS per i passaggi da 1 a 5 nella procedura seguente. Per informazioni dettagliate, vedi Esecuzione dello strumento di impostazione HDS tramite Podman Desktop .

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker nel punto 5 seguente. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stable

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

docker login -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stable

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Negli ambienti regolari con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizza un browser Web per andare all'host locale, http://127.0.0.1:8080 e inserire il nome utente di amministrazione per Partner Hub al prompt.

Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.

7

Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.

8

Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.

9

Nella pagina Importazione ISO , sono disponibili le seguenti opzioni:

No: se si sta creando il primo nodo HDS, non si dispone di un file ISO da caricare.
Sì: se sono già stati creati nodi HDS, selezionare il file ISO nel Sfoglia e caricarlo.

10

Verificare che il certificato X.509 soddisfi i requisiti di Requisiti certificati X.509.

Se non è mai stato caricato un certificato prima, caricare il certificato X.509, inserire la password e fare clic su Continua.
Se il certificato è OK, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata da ISO precedente?. Caricare un nuovo certificato X.509, inserire la password e fare clic su Continua.

11

Immettere l'indirizzo del database e l'account per HDS per accedere al datastore chiave:

Selezionare il Tipo di database (PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, viene visualizzato il campo Tipo di autenticazione.
(Solo Microsoft SQL Server ) Selezionare il Tipo di autenticazione:
- Autenticazione base: È necessario un nome di account Server SQL locale nel campo Nome utente .
- Autenticazione Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente .
Immettere l'indirizzo del server di database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non possono utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433
Immettere il Nome database.
Immettere il Nome utente e la Password di un utente con tutti i privilegi nel database di storage delle chiavi.

12

Selezionare una Modalità di connessione al database TLS:

Mode	Descrizione
Scegli TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server di database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database di SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host e porta database . I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, lo strumento di impostazione HDS verifica la connessione TLS sul server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina dello strumento di impostazione HDS non riesce a provarla.

13

Nella pagina Registri di sistema, configurare il server Syslogd:

Immettere l'URL del server syslog.

Se il server non è risolvibile dal DNS dai nodi per il cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione all'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se si imposta il server per utilizzare la crittografia TLS, selezionare Il server syslog è configurato per la crittografia SSL?.

Se si seleziona questa casella di controllo, accertarsi di inserire un URL TCP come tcp://10.92.43.23:514.
Dall'elenco a discesa Scegli terminazione record syslog , scegli l'impostazione appropriata per il tuo file ISO: Scelta o nuova riga utilizzata per il protocollo Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa scelta per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Opzionale) Puoi modificare il valore predefinito di alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo parametro è l'unico che si potrebbe voler modificare:

app_datasource_connection_pool_maxSize: 10

15

Fare clic su Continua nella schermata Reimposta password account servizio .

Le password degli account di servizio durano nove mesi. Utilizzare questa schermata quando le password sono prossime alla scadenza o quando si desidera reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salva il file in una posizione facile da trovare.

17

Effettuare una copia di backup del file ISO sul sistema locale.

Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di impostazione, digitare CTRL+C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche di configurazione. Se perdi tutte le copie del file ISO, hai perso anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Questa chiave non è mai disponibile e non può essere d'aiuto se la perdi.

Installazione del file OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Selezionare File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare la posizione del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella , inserisci un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo , scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verifica i dettagli del modello, quindi fai clic su Avanti.
7	Se viene richiesto di scegliere la configurazione della risorsa nella pagina Configurazione , fare clic su CPU 4 , quindi fare clic su Avanti.
8	Nella pagina Seleziona storage , fare clic su Avanti per accettare il formato predefinito del disco e i criteri di storage VM.
9	Nella pagina Seleziona reti , scegliere l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello , configura le seguenti impostazioni di rete: Nome host: inserire il nome di dominio completo (FQDN) o un nome host con una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta nel cloud, utilizzare solo caratteri minuscoli nel nome di dominio completo o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del nome di dominio completo non deve superare i 64 caratteri. Indirizzo IP: inserire l'indirizzo IP per l'interfaccia interna del nodo. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato. Maschera: immettere l'indirizzo della subnet mask in notazione punto decimale. Ad esempio, 255.255.255.0. Gateway: inserire l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS: inserire un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (sono consentite fino a 4 voci DNS). Server NTP: inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È inoltre possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuire tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi in un cluster siano raggiungibili dai client nella rete per scopi amministrativi. Se preferisci, puoi ignorare la configurazione dell'impostazione di rete e seguire la procedura in Impostazione della VM di sicurezza dei dati ibridi per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sulla VM del nodo, quindi scegliere Alimentazione > Accensione. Il software di sicurezza dei dati ibridi è installato come ospite sull'host VM. A questo punto, è possibile accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Si potrebbe verificare un ritardo di alcuni minuti prima che vengano attivi i container del nodo. Durante il primo avvio viene visualizzato un messaggio del firewall del bridge sulla console, durante il quale non è possibile eseguire l'accesso.

Impostare la VM di sicurezza dei dati ibridi

Utilizzare questa procedura per accedere per la prima volta alla console VM del nodo di sicurezza dei dati ibridi e impostare le credenziali di accesso. È inoltre possibile utilizzare la console per configurare le impostazioni di rete per il nodo se non le sono state configurate al momento della distribuzione OVA.

1	Nel client VMware vSphere, selezionare la VM del nodo di sicurezza dei dati ibridi e selezionare la scheda Console . La VM si avvia e viene visualizzato un prompt di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizzare il seguente accesso predefinito e la password per eseguire l'accesso e modificare le credenziali: Accesso: `admin` Password: `cisco` Poiché si sta eseguendo l'accesso alla VM per la prima volta, è necessario modificare la password dell'amministratore.
3	Se le impostazioni di rete sono già state configurate in Installazione del file OVA dell'host HDS, saltare il resto della procedura. Altrimenti, nel menu principale, selezionare l'opzione Modifica configurazione .
4	Impostare una configurazione statica con informazioni su indirizzo IP, maschera, gateway e DNS. Il nodo deve disporre di un indirizzo IP interno e di un nome DNS. DHCP non è supportato.
5	(Opzionale) Modificare il nome host, il dominio o i server NTP, se necessario in base alla policy di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale in modo che le modifiche vengano applicate.

Caricamento e montaggio dell'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con lo strumento di impostazione HDS.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, deve essere esposto solo in base al "bisogno di sapere", per l'accesso da parte delle VM di sicurezza dei dati ibridi e di qualsiasi amministratore che potrebbe aver bisogno di apportare modifiche. Accertarsi che solo gli amministratori possano accedere al datastore.

1

Caricare il file ISO dal computer:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Storage.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore delle macchine virtuali e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Passare alla posizione in cui è stato scaricato il file ISO sul computer e fare clic su Apri.
Fare clic su Sì per accettare l'avviso di operazione di caricamento/download e chiudere la finestra di dialogo del datastore.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso delle opzioni di modifica con limitazioni.
Fare clic su CD/DVD Drive 1, selezionare l'opzione per il montaggio da un file ISO del datastore e passare alla posizione in cui è stato caricato il file di configurazione ISO.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se richiesto dai criteri IT, è possibile smontare il file ISO una volta che tutti i nodi hanno rilevato le modifiche di configurazione. Per informazioni dettagliate, vedere (Opzionale) Smontaggio di ISO dopo la configurazione HDS .

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserisci l'URL di impostazione del nodo HDS `https://[HDS Node IP or FQDN]/setup` in un browser Web, inserisci le credenziali di amministratore impostate per il nodo, quindi fai clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy: l'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy non ispezionato trasparente: i nodi non sono configurati per utilizzare un indirizzo specifico del server proxy e non devono richiedere modifiche per funzionare con un proxy non ispezionato. Nessun aggiornamento certificato richiesto. Proxy con controllo trasparente: i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito: con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: IP/FQDN proxy: indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy: numero di porta utilizzato dal proxy per rilevare il traffico proxy. Protocollo proxy: scegliere http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione: scegliere tra i seguenti tipi di autenticazione: Nessuno: non è richiesta un'ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base: utilizzato per un agente utente HTTP per fornire un nome utente e una password quando effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest: utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si tratti di un errore, effettuare le seguenti operazioni, quindi vedere Disattivazione della modalità di risoluzione DNS esterno bloccato.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività utilizza il nodo generico creato in Imposta la VM di sicurezza dei dati ibridi, registra il nodo nel cloud Webex e lo trasforma in un nodo di sicurezza dei dati ibridi.

Quando si registra il primo nodo, si crea un cluster a cui è assegnato il nodo. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Imposta.
4	Nella pagina visualizzata, fare clic su Aggiungi risorsa.
5	Nel primo campo della scheda Aggiungi nodo , inserire un nome per il cluster a cui si desidera assegnare il nodo di sicurezza dei dati ibridi. Si consiglia di assegnare un nome a un cluster in base alla posizione geografica dei nodi del cluster. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, inserire l'indirizzo IP interno o il nome di dominio completo del nodo e fare clic su Aggiungi nella parte inferiore dello schermo. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Impostazione della VM di sicurezza dei dati ibridi. Viene visualizzato un messaggio che indica che è possibile registrare il nodo in Webex.
7	Fai clic su Vai a nodo. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. Qui, si conferma che si desidera concedere le autorizzazioni alla propria organizzazione Webex per accedere al nodo.
8	Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Nella pagina Sicurezza dati ibridi , il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse . Il nodo scarica automaticamente l'ultimo software dal cloud.

Crea e registra altri nodi

Per aggiungere altri nodi al cluster, è sufficiente creare VM aggiuntive e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Si consiglia di disporre di almeno 3 nodi.

Operazioni preliminari

Una volta iniziata la registrazione di un nodo, è necessario completarla entro 60 minuti o iniziare di nuovo.
Accertarsi che tutti i blocchi popup nel browser siano disabilitati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dal file OVA, ripetendo i passaggi in Installa il file OVA host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostazione della VM di sicurezza dei dati ibridi.
3	Sulla nuova VM, ripetere i passaggi in Carica e monta la configurazione HDS ISO.
4	Se si sta impostando un proxy per la distribuzione, ripetere la procedura in Configurazione del nodo HDS per l'integrazione proxy come necessario per il nuovo nodo.
5	Registrare il nodo. In https://admin.webex.com, selezionare Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, individuare la scheda di sicurezza dei dati ibridi e fare clic su Visualizza tutto. Viene visualizzata la pagina Risorse di sicurezza dei dati ibridi. Il cluster appena creato verrà visualizzato nella pagina Risorse . Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fai clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del nodo e fai clic su Aggiungi. Viene visualizzata una pagina con un messaggio che indica che è possibile registrare il nodo nel cloud Webex. Dopo alcuni istanti, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test vengono eseguiti correttamente, viene visualizzata la pagina Consenti accesso al nodo di sicurezza dei dati ibridi. In questo punto, confermi di voler concedere le autorizzazioni alla tua organizzazione per accedere al nodo. Selezionare la casella di controllo Consenti accesso al nodo di sicurezza dei dati ibridi , quindi fare clic su Continua. L'account è stato convalidato e il messaggio "Registrazione completata" indica che il nodo è ora registrato nel cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi di Partner Hub. Il messaggio popup Nodo aggiunto viene visualizzato anche nella parte inferiore dello schermo in Partner Hub. Il nodo è registrato.

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Questa attività assicura che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia locali e altri servizi di sicurezza.

Operazioni preliminari

Assicurarsi di aver completato l'impostazione del cluster HDS multi-tenant con il numero di nodi richiesto.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS .

Aggiungi organizzazioni tenant in Partner Hub

In questa attività, assegnare le organizzazioni dei clienti al cluster di sicurezza dei dati ibridi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Fare clic sul cluster a cui si desidera assegnare un cliente.
5	Andare alla scheda Clienti assegnati .
6	Fare clic su Aggiungi clienti.
7	Selezionare il cliente che si desidera aggiungere dal menu a discesa.
8	Fare clic su Aggiungi; il cliente verrà aggiunto al cluster.
9	Ripetere i passaggi da 6 a 8 per aggiungere più clienti al cluster.
10	Fare clic su Chiudi nella parte inferiore dello schermo una volta aggiunti i clienti.

Operazioni successive

Eseguire lo strumento di impostazione HDS come descritto in Crea chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS per completare il processo di impostazione.

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungi organizzazioni tenant in Partner Hub. Eseguire lo strumento di impostazione HDS per completare il processo di impostazione per le organizzazioni dei clienti aggiunte di recente.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `docker login -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo. Assicurarsi della connettività al database per eseguire la gestione CMK.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Crea CMK per tutte le organizzazioni o Crea CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni aggiunte di recente. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Crea CMK per creare CMK per tutte le organizzazioni aggiunte di recente. Fare clic su … vicino allo stato in sospeso della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta eseguita correttamente la creazione di CMK, lo stato nella tabella cambierà da Gestione CMK in sospeso a Gestione CMK.
13	Se la creazione di CMK non viene eseguita correttamente, viene visualizzato un errore.

Rimuovi organizzazioni tenant

Operazioni preliminari

Una volta rimossa, gli utenti delle organizzazioni dei clienti non potranno sfruttare HDS per le proprie esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contattare il partner Cisco o il responsabile dell'account.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Visualizza tutto.
4	Nella scheda Risorse , fare clic sul cluster da cui si desidera rimuovere le organizzazioni dei clienti.
5	Nella pagina visualizzata, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni dei clienti visualizzate, fare clic su ... sul lato destro dell'organizzazione del cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completare il processo di rimozione revocando i CMK delle organizzazioni dei clienti come descritto in Revoca dei CMK dei tenant rimossi da HDS.

Revoca CMK dei tenant rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovi organizzazioni tenant. Eseguire lo strumento di impostazione HDS per completare il processo di rimozione per le organizzazioni dei clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `docker login -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Negli ambienti regolari con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizza un browser Web per andare all'host locale, `http://127.0.0.1:8080` e inserire il nome utente di amministrazione per Partner Hub al prompt. Lo strumento utilizza questa prima immissione del nome utente per impostare l'ambiente corretto per tale account. Lo strumento visualizza quindi il prompt di accesso standard.
7	Quando richiesto, inserisci le credenziali di accesso amministratore Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per la sicurezza dei dati ibridi.
8	Nella pagina di panoramica dello strumento di impostazione, fare clic su Introduzione.
9	Nella pagina Importazione ISO , fare clic su Sì.
10	Selezionare il file ISO nel browser e caricarlo.
11	Andare alla scheda Gestione tenant CMK , in cui sono disponibili i tre metodi seguenti per gestire i CMK del tenant. Revoca CMK per tutte le organizzazioni o Revoca CMK : fai clic su questo pulsante nel banner nella parte superiore dello schermo per revocare i CMK di tutte le organizzazioni rimosse. Fai clic sul pulsante Gestisci CMK sul lato destro dello schermo e fai clic su Revoca CMK per revocare i CMK di tutte le organizzazioni rimosse. Fare clic su … vicino allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per tale organizzazione specifica.
12	Una volta revocata la richiesta CMK, l'organizzazione del cliente non verrà più visualizzata nella tabella.
13	Se la revoca di CMK non viene eseguita correttamente, viene visualizzato un errore.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia della sicurezza dei dati ibridi multi-tenant.

Operazioni preliminari

Imposta la tua distribuzione della sicurezza dei dati ibridi multi-tenant.
Assicurarsi di disporre dell'accesso al syslog per verificare che le richieste chiave stiano passando alla distribuzione della sicurezza dei dati ibridi multi-tenant.

1

Le chiavi per un determinato spazio vengono impostate dal creatore dello spazio. Accedere all'app Webex come uno degli utenti dell'organizzazione cliente, quindi creare uno spazio.

Se si disattiva la distribuzione della sicurezza dei dati ibridi, il contenuto negli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie memorizzate nella cache del client delle chiavi di crittografia.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output syslog per verificare che le richieste chiave passino alla distribuzione della sicurezza dei dati ibridi.

Per verificare se un utente prima stabilisce un canale sicuro per KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Si dovrebbe trovare una voce come la seguente (identificativi abbreviati per la leggibilità):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Per verificare la presenza di un utente che richiede una chiave esistente da KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Per verificare la presenza di un utente che richiede la creazione di un nuovo oggetto risorsa KMS (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoraggio dello stato della sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se tutto è a posto con la distribuzione della sicurezza dei dati ibridi multi-tenant. Per avvisi più proattivi, esegui l'iscrizione per le notifiche e-mail. Riceverai una notifica in caso di allarmi con impatto sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digitare uno o più indirizzi e-mail separati da virgole e premere Invio.

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Utilizzare le attività descritte di seguito per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta pianificazione aggiornamento cluster

Gli aggiornamenti software per la sicurezza dei dati ibridi vengono eseguiti automaticamente a livello di cluster per garantire che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono effettuati in base alla pianificazione di aggiornamento per il cluster. Quando un aggiornamento software diventa disponibile, è possibile aggiornare manualmente il cluster prima dell'ora di aggiornamento pianificata. Puoi impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita delle 3.00 Giornaliero Stati Uniti: America/Los Angeles. È anche possibile scegliere di rinviare un aggiornamento futuro, se necessario.

Per impostare la pianificazione di aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, selezionare Servizi.
3	Nella sezione Servizi cloud, individuare la sicurezza dei dati ibridi e fare clic su Imposta
4	Nella pagina Risorse di sicurezza dei dati ibridi, selezionare il cluster.
5	Fare clic sulla scheda Impostazioni cluster .
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, selezionare l'ora e il fuso orario per la pianificazione di aggiornamento. Nota: Nel fuso orario vengono visualizzate la successiva data e ora di aggiornamento disponibili. È possibile posticipare l'aggiornamento al giorno seguente, se necessario, facendo clic su Posponi di 24 ore.

Modifica della configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Ripristino software: la vecchia e la nuova password funzionano entrambi per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Ripristino forzato: le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Partner Hub con diritti di amministratore completo del partner.

Se non si dispone di una licenza Docker Desktop, è possibile utilizzare Podman Desktop per eseguire lo strumento di impostazione HDS per i passaggi da 1.a a 1.e nella procedura seguente. Per informazioni dettagliate, vedi Esecuzione dello strumento di impostazione HDS tramite Podman Desktop .

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `docker login -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di impostazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, inserisci le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di impostazione, digitare `CTRL+C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM di sicurezza dei dati ibridi e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedi Creazione e registrazione di altri nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `CD/DVD Drive 1`, selezionare l'opzione per il montaggio da un file ISO e passare alla posizione in cui è stato scaricato il nuovo file di configurazione ISO. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo di sicurezza dei dati ibridi (indirizzo IP o impostazione, ad esempio, https://192.0.2.0/setup), inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo di sicurezza dei dati ibridi dal cloud Webex. Dopo aver rimosso il nodo dal cluster, eliminare la macchina virtuale per evitare ulteriori accessi ai dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovere il nodo:

Accedi a Partner Hub e seleziona Servizi.
Nella scheda Sicurezza dei dati ibridi, fare clic su Visualizza tutto per visualizzare la pagina Risorse di sicurezza dei dati ibridi.
Seleziona il cluster per visualizzare il relativo pannello Panoramica.
Fare clic sul nodo da rimuovere.
Fai clic su Annulla registrazione di questo nodo nel pannello visualizzato a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla macchina virtuale e fare clic su Elimina.

Se non si elimina la macchina virtuale, ricordarsi di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la VM per accedere ai dati di sicurezza.

Ripristino di emergenza tramite centro dati Standby

Il servizio più critico fornito dal cluster di sicurezza dei dati ibridi è la creazione e la memorizzazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti memorizzati nel cloud Webex. Per ogni utente all'interno dell'organizzazione assegnato alla sicurezza dei dati ibridi, le nuove richieste di creazione di chiavi vengono indirizzate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a qualsiasi utente autorizzato a recuperarle, ad esempio, membri di uno spazio di conversazione.

Poiché il cluster esegue la funzione critica di fornire queste chiavi, è imperativo che il cluster rimanga in esecuzione e che vengano mantenuti i backup corretti. La perdita del database di sicurezza dei dati ibridi o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRREVERSIBILE del contenuto del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se una catastrofe causa la non disponibilità della distribuzione HDS nel centro dati principale, seguire questa procedura per eseguire manualmente il failover al centro dati di standby.

Operazioni preliminari

Annulla registrazione di tutti i nodi da Partner Hub come menzionato in Rimozione di un nodo. Utilizzare il file ISO più recente configurato rispetto ai nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di impostazione HDS e seguire la procedura menzionata in Creazione di una configurazione ISO per gli host HDS.
2	Completare il processo di configurazione e salvare il file ISO in una posizione facile da trovare.
3	Effettuare una copia di backup del file ISO sul sistema locale. Tenere sicura la copia di backup. Questo file contiene una chiave di crittografia master per il contenuto del database. Limitare l'accesso solo agli amministratori della sicurezza dei dati ibridi che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >Unità CD/DVD 1 e selezionare il file ISO del datastore. Accertarsi che le caselle Connesso e Connetti all'accensione siano selezionate in modo che le modifiche di configurazione aggiornate possano essere applicate dopo l'avvio dei nodi.
6	Accendere il nodo HDS e accertarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo in Partner Hub. Fare riferimento a Registrazione del primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel centro dati di standby.

Operazioni successive

Dopo il failover, se il centro dati principale diventa nuovamente attivo, annullare la registrazione dei nodi del centro dati di standby e ripetere il processo di configurazione ISO e registrazione dei nodi del centro dati principale come menzionato sopra.

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

La configurazione standard HDS viene eseguita con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO una volta che tutti i nodi HDS hanno attivato la nuova configurazione.

I file ISO vengono ancora utilizzati per apportare modifiche alla configurazione. Quando si crea un nuovo ISO o si aggiorna un ISO tramite lo strumento di impostazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno rilevato le modifiche di configurazione, è possibile smontare nuovamente lo standard ISO con questa procedura.

Operazioni preliminari

Aggiornare tutti i nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Arrestare uno dei nodi HDS.
2	Nell'applicazione vCenter Server, selezionare il nodo HDS.
3	Scegliere Modifica impostazioni > Unità CD/DVD e deselezionare File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere a turno per ciascun nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Una distribuzione della sicurezza dei dati ibridi viene considerata non disponibile se tutti i nodi nel cluster non sono raggiungibili o se il cluster funziona in modo così lento da richiedere un timeout. Se gli utenti non riescono a raggiungere il cluster di sicurezza dei dati ibridi, manifestano i seguenti sintomi:

Impossibile creare nuovi spazi (impossibile creare nuove chiavi)
Impossibile decrittografare messaggi e titoli degli spazi per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente fin tanto che i client dispongono di una cache delle chiavi di crittografia

È importante monitorare correttamente il cluster di sicurezza dei dati ibridi e indirizzare tempestivamente eventuali avvisi per evitare l'interruzione del servizio.

Avvisi

Se si verifica un problema con l'impostazione della sicurezza dei dati ibridi, Partner Hub visualizza gli avvisi all'amministratore dell'organizzazione e invia messaggi e-mail all'indirizzo e-mail configurato. Gli avvisi coprono molti scenari comuni.

Tabella 1. Problemi comuni e procedure per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi di rete locale.
Errore di connessione al database locale.	Controlla che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione al servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione servizio cloud interrotta.	Registrazione per servizi cloud terminata. Arresto del servizio in corso.
Servizio non ancora attivato.	Attiva HDS in Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurarsi che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente ed è ora diverso dal CN utilizzato durante l'impostazione iniziale.
Impossibile eseguire l'autenticazione per i servizi cloud.	Verificare la precisione e la possibile scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file del keystore locale.	Verificare l'integrità e l'accuratezza della password sul file del keystore locale.
Certificato del server locale non valido.	Controllare la data di scadenza del certificato del server e verificare che sia stata emessa da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso di rete locale ai servizi cloud esterni.
La directory /media/configdrive/hds non esiste.	Controllare la configurazione di montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che venga montato correttamente.
Impostazione organizzazione tenant non completata per organizzazioni aggiunte	Completa l'impostazione creando CMK per le organizzazioni di tenant appena aggiunte utilizzando lo strumento di impostazione HDS.
Impostazione organizzazione tenant non completata per organizzazioni rimosse	Completare l'impostazione revocando i CMK delle organizzazioni tenant rimosse utilizzando lo strumento di impostazione HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Utilizzare le seguenti linee guida generali per la risoluzione dei problemi di sicurezza dei dati ibridi.

1	Esamina Partner Hub per eventuali avvisi e correggi eventuali elementi disponibili. Vedere l'immagine seguente per riferimento.
2	Esaminare l'output del server syslog per l'attività della distribuzione della sicurezza dei dati ibridi. Filtra per parole come "Avviso" e "Errore" per facilitare la risoluzione dei problemi.
3	Contatta il supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se arresti il cluster di sicurezza dei dati ibridi (eliminandolo in Partner Hub o chiudendo tutti i nodi), perdi il tuo file ISO di configurazione o perdi l'accesso al database di keystore, gli utenti dell'app Webex delle organizzazioni dei clienti non possono più utilizzare gli spazi sotto l'elenco Persone creati con le chiavi del tuo KMS. Attualmente non abbiamo una soluzione o una correzione per questo problema e vi invitiamo a non chiudere i servizi HDS una volta gestiti gli account utente attivi.
Un client che dispone di una connessione ECDH esistente a un KMS mantiene tale connessione per un periodo di tempo (probabilmente un'ora).

Esegui lo strumento di impostazione HDS utilizzando il desktop Podman

Podman è uno strumento di gestione dei container gratuito e open source che fornisce un modo per eseguire, gestire e creare container. Podman Desktop può essere scaricato da https://podman-desktop.io/downloads.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, scaricare ed eseguire Podman su quella macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di impostazione HDS è in esecuzione dietro un proxy nell'ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si visualizza il container Docker al punto 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessaria l'ultima copia di questo file ogni volta che si apportano modifiche di configurazione, come le seguenti:
- Credenziali database
- Aggiornamenti certificati
- Modifiche ai criteri di autorizzazione
Se si intende crittografare le connessioni ai database, impostare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di impostazione della sicurezza dei dati ibridi crea un file ISO. Successivamente, utilizzare ISO per configurare l'host di sicurezza dei dati ibridi.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Operazioni successive

Seguire la procedura restante in Creazione di una configurazione ISO per gli host HDS o Modifica configurazione nodo per creare o modificare la configurazione ISO.

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per rendere il file PKCS12 nel formato appropriato per il caricamento nello strumento di installazione HDS. Ci sono altri modi per farlo, e non sosteniamo né promuoviamo una via all'altra.
Se si sceglie di utilizzare OpenSSL, questa procedura viene fornita come riferimento per creare un file che soddisfi i requisiti di certificazione X.509 in Requisiti certificati X.509. Comprendere tali requisiti prima di continuare.
Installare OpenSSL in un ambiente supportato. Vedere https://www.openssl.org per il software e la documentazione.
Creare una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dall'autorità certificativa (CA).

1	Quando si riceve il certificato del server dall'autorità certificativa, salvarlo come `hdsnode.pem`.
2	Visualizzare il certificato come testo e verificare i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, qualsiasi certificato CA intermedio e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Creare il file .p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che sia elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le linee `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Operazioni successive

Torna a Completamento dei prerequisiti per la sicurezza dei dati ibridi. Il hdsnode.p12 file e la password impostati saranno utilizzati in Creazione di una configurazione ISO per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato alla scadenza del certificato originale.

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

I nodi di sicurezza dei dati ibridi inviano determinate metriche al cloud Webex. Queste includono metriche di sistema per max heap, heap utilizzato, carico di CPU e conteggio delle conversazioni; metriche su thread sincroni e asincroni; metriche su avvisi che comportano una soglia di connessioni di crittografia, latenza o lunghezza della coda di richiesta; metriche sul datastore e metriche di connessione di crittografia. I nodi inviano il materiale della chiave crittografata su un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi di sicurezza dei dati ibridi ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia da parte dei client, indirizzate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni Websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid in modo da ignorare il wss: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la on_unsupported_protocol direttiva a squid.conf:

on_unsupported_protocol tunnel all

3.5.27 di calamari

La sicurezza dei dati ibridi è stata testata correttamente con le seguenti regole aggiunte a squid.conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Informazioni nuove e modificate

Questa tabella riguarda le nuove caratteristiche o funzionalità, le modifiche apportate ai contenuti esistenti e tutti gli errori principali che sono stati corretti nella Guida alla distribuzione per la sicurezza dei dati ibridi multi-tenant.

Data	Modifiche apportate
8 maggio 2025	Aggiunto Spostare l'attuale distribuzione HDS a tenant singolo di un'organizzazione partner in Control Hub in una configurazione HDS multi-tenant nella sezione Partner Hub. È stato aggiornato l'output del syslog per migliorare la leggibilità nella sezione Testa la tua distribuzione di sicurezza dei dati ibridi. Aggiornati Requisiti host virtuali, Flusso attività di distribuzione della sicurezza dei dati ibridie Installa l'OVA dell'host HDS per aggiungere il supporto ESXi 8.0.
4 marzo 2025	Aggiunta la sezione Esegui lo strumento di installazione HDS utilizzando Podman Desktop. Aggiunta una nota in Requisiti desktop Docker per fornire ai clienti un'opzione open source alternativa. Aggiornato Crea una configurazione ISO per gli host HDS e Modifica la configurazione del nodo con istruzioni per utilizzare Podman Desktop per i clienti senza una licenza Docker Desktop.
30 gennaio 2025	Aggiunto SQL Server versione 2022 all'elenco dei server SQL supportati in Requisiti del server di database.
15 gennaio 2025	Aggiunte Limitazioni della sicurezza dei dati ibridi multi-tenant.
8 gennaio 2025	Aggiunta una nota in Esegui la configurazione iniziale e scarica i file di installazione che indica che fare clic su Configura sulla scheda HDS in Partner Hub è un passaggio importante del processo di installazione.
7 gennaio 2025	Aggiornati Requisiti host virtuali, Flusso attività di distribuzione della sicurezza dei dati ibridie Installa l'OVA dell'host HDS per mostrare i nuovi requisiti di ESXi 7.0.
13 dicembre 2024	Pubblicato per la prima volta.

Disattivare la sicurezza dei dati ibridi multi-tenant

Flusso di attività di disattivazione HDS multi-tenant

Per disattivare completamente Multi-Tenant HDS, seguire questi passaggi.

Operazioni preliminari

Questa attività dovrebbe essere eseguita solo da un amministratore completo del Partner.

1	Rimuovi tutti i clienti da tutti i tuoi cluster, come indicato in Rimuovi organizzazioni tenant.
2	Revoca le CMK di tutti i clienti, come menzionato in Revoca le CMK dei tenant rimossi da HDS..
3	Rimuovi tutti i nodi da tutti i tuoi cluster, come indicato in Rimuovi un nodo.
4	Elimina tutti i tuoi cluster da Partner Hub utilizzando uno dei due metodi seguenti. Fare clic sul cluster che si desidera eliminare e selezionare Elimina questo cluster nell'angolo in alto a destra della pagina di panoramica. Nella pagina Risorse, fare clic su … sul lato destro di un cluster e selezionare Rimuovi cluster.
5	Fare clic sulla scheda Impostazioni nella pagina di panoramica di Hybrid Data Security e fare clic su Disattiva HDS nella scheda Stato HDS.

Inizia con la sicurezza dei dati ibrida multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Fin dal primo giorno, la sicurezza dei dati è stata l'obiettivo principale nella progettazione dell'app Webex. Il fondamento di questa sicurezza è la crittografia end-to-end dei contenuti, abilitata dai client dell'app Webex che interagiscono con il servizio di gestione delle chiavi (KMS). Il KMS è responsabile della creazione e della gestione delle chiavi di crittografia utilizzate dai client per crittografare e decrittografare dinamicamente messaggi e file.

Per impostazione predefinita, tutti i clienti dell'app Webex ottengono la crittografia end-to-end con chiavi dinamiche archiviate nel cloud KMS, nell'ambito di sicurezza di Cisco. La sicurezza dei dati ibridi sposta KMS e altre funzioni correlate alla sicurezza sul centro dati aziendale in modo che nessuno ma che deteni le chiavi per il contenuto crittografato.

La sicurezza dei dati ibrida multi-tenant consente alle organizzazioni di sfruttare HDS tramite un partner locale di fiducia, che può agire come fornitore di servizi e gestire la crittografia in sede e altri servizi di sicurezza. Questa configurazione consente all'organizzazione partner di avere il controllo completo sull'implementazione e la gestione delle chiavi di crittografia e garantisce che i dati utente delle organizzazioni clienti siano al sicuro da accessi esterni. Le organizzazioni partner configurano istanze HDS e creano cluster HDS in base alle esigenze. Ogni istanza può supportare più organizzazioni di clienti, a differenza di una distribuzione HDS standard che è limitata a una singola organizzazione.

Sebbene le organizzazioni partner abbiano il controllo sulla distribuzione e sulla gestione, non hanno accesso ai dati e ai contenuti generati dai clienti. Questo accesso è limitato alle organizzazioni clienti e ai loro utenti.

Ciò consente anche alle organizzazioni più piccole di sfruttare HDS, poiché il servizio di gestione delle chiavi e l'infrastruttura di sicurezza, come i data center, sono di proprietà del partner locale di fiducia.

Come la sicurezza dei dati ibrida multi-tenant garantisce la sovranità e il controllo dei dati

I contenuti generati dagli utenti sono protetti dall'accesso esterno, come quello dei provider di servizi cloud.
I partner locali di fiducia gestiscono le chiavi di crittografia dei clienti con cui hanno già un rapporto consolidato.
Opzione per il supporto tecnico locale, se fornito dal partner.
Supporta contenuti di riunioni, messaggistica e chiamate.

Lo scopo del presente documento è quello di aiutare le organizzazioni partner a configurare e gestire i clienti tramite un sistema di sicurezza dei dati ibrido multi-tenant.

Limitazioni della sicurezza dei dati ibrida multi-tenant

Le organizzazioni partner non devono avere alcuna distribuzione HDS attiva in Control Hub.
Le organizzazioni tenant o clienti che desiderano essere gestite da un partner non devono disporre di alcuna distribuzione HDS esistente in Control Hub.
Una volta che il partner ha distribuito Multi-Tenant HDS, tutti gli utenti delle organizzazioni dei clienti e gli utenti dell'organizzazione partner iniziano a sfruttare Multi-Tenant HDS per i loro servizi di crittografia.

L'organizzazione partner e le organizzazioni clienti da loro gestite saranno sulla stessa distribuzione HDS Multi-Tenant.

Dopo l'implementazione di Multi-Tenant HDS, l'organizzazione partner non utilizzerà più il cloud KMS.
Non esiste alcun meccanismo per spostare nuovamente le chiavi su Cloud KMS dopo una distribuzione HDS.
Attualmente, ogni distribuzione HDS Multi-Tenant può avere un solo cluster, con più nodi al suo interno.
I ruoli di amministratore presentano alcune limitazioni; per i dettagli, vedere la sezione seguente.

Ruoli nella sicurezza dei dati ibrida multi-tenant

Amministratore completo del partner - Può gestire le impostazioni per tutti i clienti gestiti dal partner. Possono anche assegnare ruoli amministratore a utenti esistenti nell'organizzazione e assegnare clienti specifici per la gestione da parte degli amministratori partner.
Amministratore partner - Può gestire le impostazioni per i clienti che l'amministratore ha fornito o che sono stati assegnati all'utente.
Amministratore completo - Amministratore dell'organizzazione partner autorizzato a svolgere attività quali la modifica delle impostazioni dell'organizzazione, la gestione delle licenze e l'assegnazione dei ruoli.

Configurazione e gestione end-to-end di HDS multi-tenant per tutte le organizzazioni dei clienti - Sono richiesti diritti di amministratore completo del partner e di amministratore completo.
Gestione delle organizzazioni tenant assegnate - Sono richiesti diritti di amministratore partner e di amministratore completo.

Architettura del regno della sicurezza

L'architettura cloud di Webex separa i diversi tipi di servizio in ambiti distinti, o domini di attendibilità, come illustrato di seguito.

***Regni di separazione (senza sicurezza dei dati ibrida)***

Per comprendere meglio la sicurezza dei dati ibridi, diamo prima un'occhiata a questo caso di cloud puro, in cui Cisco fornisce tutte le funzioni nei suoi ambiti cloud. Il servizio di identità, l'unico luogo in cui gli utenti possono essere direttamente associati alle loro informazioni personali, come l'indirizzo e-mail, è logicamente e fisicamente separato dall'ambito della sicurezza nel data center B. Entrambi sono a loro volta separati dall'ambito in cui vengono infine archiviati i contenuti crittografati, nel data center C.

In questo diagramma, il client è l'app Webex in esecuzione sul laptop di un utente e ha eseguito l'autenticazione con il servizio di identità. Quando l'utente compone un messaggio da inviare a uno spazio, si verificano i seguenti passaggi:

Il client stabilisce una connessione sicura con il servizio di gestione delle chiavi (KMS), quindi richiede una chiave per crittografare il messaggio. La connessione sicura utilizza ECDH e il KMS crittografa la chiave utilizzando una chiave master AES-256.
Il messaggio viene crittografato prima di lasciare il client. Il client lo invia al servizio di indicizzazione, che crea indici di ricerca crittografati per facilitare le future ricerche del contenuto.
Il messaggio crittografato viene inviato al servizio di conformità per i controlli di conformità.
Il messaggio crittografato viene archiviato nell'area di archiviazione.

Quando si implementa Hybrid Data Security, le funzioni di sicurezza (KMS, indicizzazione e conformità) vengono spostate nel data center locale. Gli altri servizi cloud che compongono Webex (tra cui l'archiviazione di identità e contenuti) restano di competenza di Cisco.

Collaborare con altre organizzazioni

Gli utenti della tua organizzazione potrebbero utilizzare regolarmente l'app Webex per collaborare con partecipanti esterni in altre organizzazioni. Quando uno dei tuoi utenti richiede una chiave per uno spazio di proprietà della tua organizzazione (perché creato da uno dei tuoi utenti), il tuo KMS invia la chiave al client tramite un canale protetto ECDH. Tuttavia, quando un'altra organizzazione possiede la chiave per lo spazio, il KMS indirizza la richiesta al cloud Webex tramite un canale ECDH separato per ottenere la chiave dal KMS appropriato e quindi restituisce la chiave all'utente sul canale originale.

Il servizio KMS in esecuzione sull'organizzazione A convalida le connessioni ai KMS di altre organizzazioni utilizzando certificati PKI x.509. Per i dettagli sulla generazione di un certificato x.509 da utilizzare con la distribuzione Multi-Tenant Hybrid Data Security, vedere Preparare l'ambiente.

Aspettative per l'implementazione della sicurezza dei dati ibrida

L'implementazione di un sistema di sicurezza dei dati ibrido richiede un impegno notevole e la consapevolezza dei rischi associati al possesso di chiavi di crittografia.

Per implementare Hybrid Data Security, è necessario fornire:

Un data center sicuro in un paese che è una sede supportata per i piani Cisco Webex Teams.
Le apparecchiature, il software e l'accesso alla rete descritti in Preparare l'ambiente.

La perdita completa della configurazione ISO creata per Hybrid Data Security o del database fornito comporterà la perdita delle chiavi. La perdita della chiave impedisce agli utenti di decrittografare il contenuto dello spazio e altri dati crittografati nell'app Webex. In tal caso, è possibile creare una nuova distribuzione, ma saranno visibili solo i nuovi contenuti. Per evitare la perdita di accesso ai dati, è necessario:

Gestire il backup e il ripristino del database e della configurazione ISO.
Preparatevi a eseguire un rapido ripristino di emergenza nel caso si verifichi una catastrofe, come un guasto del disco del database o un disastro del data center.

Non esiste alcun meccanismo per spostare nuovamente le chiavi sul cloud dopo una distribuzione HDS.

Processo di configurazione di alto livello

Questo documento riguarda la configurazione e la gestione di una distribuzione di sicurezza dei dati ibrida multi-tenant:

Impostare Hybrid Data Security—Ciò include la preparazione dell'infrastruttura necessaria e l'installazione del software Hybrid Data Security, la creazione di un cluster HDS, l'aggiunta di organizzazioni tenant al cluster e la gestione delle relative chiavi principali del cliente (CMK). Ciò consentirà a tutti gli utenti delle organizzazioni dei tuoi clienti di utilizzare il tuo cluster Hybrid Data Security per le funzioni di sicurezza.

Le fasi di configurazione, attivazione e gestione verranno trattate in dettaglio nei tre capitoli successivi.
Mantieni la distribuzione della sicurezza dei dati ibridi—Il cloud Webex fornisce automaticamente aggiornamenti continui. Il tuo reparto IT può fornire supporto di primo livello per questa implementazione e coinvolgere il supporto Cisco quando necessario. È possibile utilizzare le notifiche sullo schermo e impostare avvisi via e-mail in Partner Hub.
Informazioni sugli avvisi comuni, sui passaggi per la risoluzione dei problemi e sui problemi noti—Se riscontri problemi durante la distribuzione o l'utilizzo di Hybrid Data Security, l'ultimo capitolo di questa guida e l'appendice Problemi noti potrebbero aiutarti a determinare e risolvere il problema.

Modello di distribuzione della sicurezza dei dati ibridi

All'interno del data center aziendale, puoi distribuire Hybrid Data Security come un singolo cluster di nodi su host virtuali separati. I nodi comunicano con il cloud Webex tramite websocket sicuri e HTTP sicuro.

Durante il processo di installazione, ti forniamo il file OVA per configurare l'appliance virtuale sulle VM da te fornite. Utilizzare lo strumento di configurazione HDS per creare un file ISO di configurazione del cluster personalizzato da montare su ciascun nodo. Il cluster Hybrid Data Security utilizza il server Syslogd fornito e il database PostgreSQL o Microsoft SQL Server. (È possibile configurare i dettagli di connessione a Syslogd e al database nello strumento di configurazione HDS.)

Modello di distribuzione della sicurezza dei dati ibridi

Il numero minimo di nodi che puoi avere in un cluster è due. Ne consigliamo almeno tre per cluster. La presenza di più nodi garantisce che il servizio non venga interrotto durante un aggiornamento software o altre attività di manutenzione su un nodo. (Il cloud Webex aggiorna solo un nodo alla volta.)

Tutti i nodi di un cluster accedono allo stesso archivio dati delle chiavi e registrano l'attività sullo stesso server syslog. I nodi stessi sono stateless e gestiscono le richieste chiave in modalità round-robin, come indicato dal cloud.

I nodi diventano attivi quando li registri in Partner Hub. Per disattivare un singolo nodo, è possibile annullarne la registrazione e, se necessario, registrarlo nuovamente in un secondo momento.

Data Center di standby per il disaster recovery

Durante la distribuzione, viene configurato un data center di standby sicuro. In caso di disastro del data center, è possibile eseguire manualmente il failover della distribuzione sul data center di standby.

Prima del failover, il Data Center A ha nodi HDS attivi e il database primario PostgreSQL o Microsoft SQL Server, mentre il Data Center B ha una copia del file ISO con configurazioni aggiuntive, VM registrate nell'organizzazione e un database di standby. Dopo il failover, il Data Center B ha nodi HDS attivi e il database primario, mentre il Data Center A ha VM non registrate e una copia del file ISO, mentre il database è in modalità standby. — ***Failover manuale sul data center di standby***

I database dei data center attivi e di standby sono sincronizzati tra loro, il che ridurrà al minimo il tempo impiegato per eseguire il failover.

I nodi Hybrid Data Security attivi devono sempre trovarsi nello stesso data center del server di database attivo.

Supporto proxy

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

Nessun proxy—Impostazione predefinita se non si utilizza l'archivio attendibile di configurazione del nodo HDS & Configurazione proxy per integrare un proxy. Nessun aggiornamento certificato richiesto.
Proxy trasparente non ispezionante—I nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non dovrebbero richiedere alcuna modifica per funzionare con un proxy non ispezionante. Nessun aggiornamento certificato richiesto.
Tunneling trasparente o ispezione proxy—I nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
Proxy esplicito—Con il proxy esplicito, si indica ai nodi HDS quale server proxy e schema di autenticazione utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:
1. Procuratore IP/FQDN—Indirizzo che può essere utilizzato per raggiungere la macchina proxy.
2. Porta proxy—Un numero di porta che il proxy utilizza per ascoltare il traffico proxy.
3. Protocollo proxy—A seconda di ciò che supporta il tuo server proxy, scegli tra i seguenti protocolli:
  - HTTP — Visualizza e controlla tutte le richieste che il client invia.
  - HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.
4. Tipo di autenticazione—Scegli tra i seguenti tipi di autenticazione:
  - Nessuno—Non è richiesta alcuna ulteriore autenticazione.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
  - Base— Utilizzato per consentire a un agente utente HTTP di fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.
    
    Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.
  - Digest—Utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.
    
    Disponibile solo se si seleziona HTTPS come protocollo proxy.
    
    Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti della licenza Cisco Webex

Per implementare la sicurezza dei dati ibrida multi-tenant:

Organizzazioni partner: Contatta il tuo partner Cisco o il tuo account manager e assicurati che la funzionalità Multi-Tenant sia abilitata.
Organizzazioni degli inquilini: È necessario disporre di Pro Pack per Cisco Webex Control Hub. Vedere https://www.cisco.com/go/pro-pack.

Requisiti del desktop Docker

Prima di installare i nodi HDS, è necessario che Docker Desktop esegua un programma di installazione. Docker ha recentemente aggiornato il proprio modello di licenza. La propria organizzazione potrebbe richiedere un abbonamento a pagamento per il desktop Docker. Per informazioni dettagliate, vedere il post sul blog docker " Il Docker sta aggiornando ed estendendo le sottoscrizioni di prodotto".

I clienti che non dispongono di una licenza Docker Desktop possono utilizzare uno strumento di gestione dei container open source come Podman Desktop per eseguire, gestire e creare container. Per i dettagli, vedere Eseguire lo strumento di installazione HDS utilizzando Podman Desktop.

Requisiti del certificato X.509

La catena di certificati deve soddisfare i seguenti requisiti:

Tabella 1. Requisiti del certificato X.509 per l'implementazione della sicurezza dei dati ibridi
Requisito	Dettagli
Firmato da un'autorità di certificazione (CA) attendibile	Per impostazione predefinita, ci fidiamo delle CA presenti nell'elenco Mozilla (ad eccezione di WoSign e StartCom) in https://wiki.mozilla.org/CA:IncludedCAs.
Ha un nome di dominio Common Name (CN) che identifica la distribuzione di Hybrid Data Security Non è un certificato jolly	Non è necessario che il CN sia raggiungibile o un host attivo. Ti consigliamo di utilizzare un nome che rispecchi la tua organizzazione, ad esempio `hds.company.com`. Il CN non deve contenere un * (jolly). Il CN viene utilizzato per verificare i nodi Hybrid Data Security sui client dell'app Webex. Tutti i nodi Hybrid Data Security nel tuo cluster utilizzano lo stesso certificato. Il tuo KMS si identifica tramite il dominio CN, non tramite un dominio definito nei campi SAN x.509v3. Una volta registrato un nodo con questo certificato, non supportiamo la modifica del nome di dominio CN.
Firma non SHA1	Il software KMS non supporta le firme SHA1 per la convalida delle connessioni ai KMS di altre organizzazioni.
Formattato come PKCS protetto da password #12 file Utilizzare il nome descrittivo `kms-private-key` per contrassegnare il certificato, la chiave privata e tutti i certificati intermedi da caricare.	Puoi utilizzare un convertitore come OpenSSL per modificare il formato del tuo certificato. Sarà necessario immettere la password quando si esegue HDS Setup Tool.

Il software KMS non impone vincoli sull'utilizzo delle chiavi o sull'utilizzo esteso delle chiavi. Alcune autorità di certificazione richiedono che a ciascun certificato vengano applicati vincoli estesi sull'utilizzo delle chiavi, come l'autenticazione del server. È possibile utilizzare l'autenticazione del server o altre impostazioni.

Requisiti dell'host virtuale

Gli host virtuali che configurerai come nodi Hybrid Data Security nel tuo cluster hanno i seguenti requisiti:

Almeno due host separati (3 consigliati) collocati nello stesso data center sicuro
VMware ESXi 7.0 o 8.0 installato e in esecuzione.

Se disponi di una versione precedente di ESXi, devi effettuare l'aggiornamento.
Minimo 4 vCPU, 8 GB di memoria principale, 30 GB di spazio su disco rigido locale per server

Requisiti del server di database

Creare un nuovo database per l'archiviazione delle chiavi. Non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.

Esistono due opzioni per il server del database. I requisiti per ciascuno sono i seguenti:

Tabella 2. Requisiti del server di database per tipo di database
PostgreSQL	Microsoft SQL Server
PostgreSQL 14, 15 o 16, installato e in esecuzione.	SQL Server 2016, 2017, 2019 o 2022 (Enterprise o Standard) installato. SQL Server 2016 richiede Service Pack 2 e Cumulative Update 2 o versioni successive.
Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (si consigliano 2 TB se si desidera eseguire il database per un lungo periodo senza dover aumentare lo spazio di archiviazione)	Minimo 8 vCPU, 16 GB di memoria principale, spazio su disco rigido sufficiente e monitoraggio per garantire che non venga superato (si consigliano 2 TB se si desidera eseguire il database per un lungo periodo senza dover aumentare lo spazio di archiviazione)

Attualmente il software HDS installa le seguenti versioni del driver per la comunicazione con il server del database:

PostgreSQL

Microsoft SQL Server

Driver JDBC Postgres 42.2.5

Driver JDBC di SQL Server 4.6

Questa versione del driver supporta SQL Server Always On ( Always On Failover Cluster Instances e Always On Availability Groups).

Requisiti aggiuntivi per l'autenticazione di Windows su Microsoft SQL Server

Se si desidera che i nodi HDS utilizzino l'autenticazione di Windows per accedere al database dell'archivio chiavi su Microsoft SQL Server, è necessaria la seguente configurazione nel proprio ambiente:

I nodi HDS, l'infrastruttura di Active Directory e MS SQL Server devono essere tutti sincronizzati con NTP.
L'account Windows fornito ai nodi HDS deve avere read/write accesso al database.
I server DNS forniti ai nodi HDS devono essere in grado di risolvere il tuo centro di distribuzione delle chiavi (KDC).
È possibile registrare l'istanza del database HDS sul server Microsoft SQL come Service Principal Name (SPN) su Active Directory. Vedere Registrare un nome principale del servizio per le connessioni Kerberos.

Lo strumento di configurazione HDS, il programma di avvio HDS e il KMS locale devono tutti utilizzare l'autenticazione di Windows per accedere al database dell'archivio chiavi. Utilizzano i dettagli della configurazione ISO per costruire l'SPN quando si richiede l'accesso con l'autenticazione Kerberos.

Requisiti di connettività esterna

Configura il tuo firewall per consentire la seguente connettività per le applicazioni HDS:

Applicazione	Protocollo	Porta	Indicazioni dall'app	Destinazione
Nodi di sicurezza dei dati ibridi	TCP	443	HTTPS e WSS in uscita	Server Webex: .wbx2.com .ciscospark.com Tutti gli host Common Identity Altri URL elencati per la sicurezza dei dati ibridi nella tabella URL aggiuntivi per i servizi ibridi Webex di Requisiti di rete per i servizi Webex
Strumento di configurazione HDS	TCP	443	HTTPS in uscita	*.wbx2.com Tutti gli host Common Identity hub.docker.com

I nodi Hybrid Data Security funzionano con la traduzione dell'accesso alla rete (NAT) o dietro un firewall, a condizione che il NAT o il firewall consentano le connessioni in uscita richieste alle destinazioni di dominio nella tabella precedente. Per le connessioni in entrata verso i nodi Hybrid Data Security, nessuna porta deve essere visibile da Internet. All'interno del tuo data center, i clienti devono accedere ai nodi Hybrid Data Security sulle porte TCP 443 e 22 per scopi amministrativi.

Gli URL per gli host Common Identity (CI) sono specifici per regione. Questi sono gli host CI attuali:

Regione	URL host di identità comune
America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unione Europea	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirati Arabi Uniti	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisiti del server proxy

Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.
- Proxy trasparente — Cisco Web Security Appliance (WSA).
- Proxy esplicito-calamaro.
  
  I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di websocket (wss:) connessioni. Per aggirare questo problema, vedere Configurare i proxy Squid per la sicurezza dei dati ibridi.
Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:
- Nessuna autenticazione con HTTP o HTTPS
- Autenticazione di base con HTTP o HTTPS
- Autenticazione digest solo con HTTPS
Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.
La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.
I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, bypassare (non ispezionare) il traffico verso wbx2.com e ciscospark.com risolverà il problema.

Completare i prerequisiti per la sicurezza dei dati ibridi

Utilizza questa checklist per assicurarti di essere pronto a installare e configurare il tuo cluster Hybrid Data Security.

1	Assicurati che la tua organizzazione partner abbia abilitata la funzionalità Multi-Tenant HDS e ottieni le credenziali di un account con diritti di amministratore completo del partner e di amministratore completo. Assicurati che l'organizzazione del tuo cliente Webex sia abilitata per Pro Pack per Cisco Webex Control Hub. Per ricevere assistenza in questa procedura, contatta il tuo partner Cisco o il tuo account manager. Le organizzazioni clienti non devono disporre di alcuna distribuzione HDS esistente.
2	Scegli un nome di dominio per la tua distribuzione HDS (ad esempio, `hds.company.com`) e ottieni una catena di certificati contenente un certificato X.509, una chiave privata e tutti i certificati intermedi. La catena di certificati deve soddisfare i requisiti indicati in Requisiti del certificato X.509.
3	Prepara host virtuali identici che configurerai come nodi Hybrid Data Security nel tuo cluster. Sono necessari almeno due host separati (3 consigliati) collocati nello stesso data center sicuro, che soddisfino i requisiti indicati in Requisiti host virtuali.
4	Preparare il server del database che fungerà da archivio dati chiave per il cluster, in base ai Requisiti del server del database. Il server del database deve essere collocato nel data center protetto insieme agli host virtuali. Creare un database per l'archiviazione delle chiavi. (È necessario creare questo database: non utilizzare il database predefinito. Le applicazioni HDS, una volta installate, creano lo schema del database.) Raccogli i dettagli che i nodi utilizzeranno per comunicare con il server del database: il nome host o l'indirizzo IP (host) e la porta il nome del database (dbname) per l'archiviazione delle chiavi il nome utente e la password di un utente con tutti i privilegi sul database di archiviazione delle chiavi
5	Per un rapido ripristino in caso di emergenza, impostare un ambiente di backup in un data center diverso. L'ambiente di backup rispecchia l'ambiente di produzione delle VM e un server di database di backup. Ad esempio, se la produzione ha 3 VM che eseguono nodi HDS, l'ambiente di backup dovrebbe avere 3 VM.
6	Impostare un host syslog per raccogliere i log dai nodi del cluster. Raccogliere l'indirizzo di rete e la porta syslog (l'impostazione predefinita è UDP 514).
7	Creare una policy di backup sicura per i nodi Hybrid Data Security, il server del database e l'host syslog. Come minimo, per evitare perdite di dati irrecuperabili, è necessario eseguire il backup del database e del file ISO di configurazione generato per i nodi Hybrid Data Security. Poiché i nodi Hybrid Data Security memorizzano le chiavi utilizzate nella crittografia e nella decrittografia del contenuto, l'impossibilità di mantenere una distribuzione operativa comporterà la PERDITA IRRECUPERABILE di tale contenuto. I client dell'app Webex memorizzano nella cache le proprie chiavi, pertanto un'interruzione potrebbe non essere immediatamente evidente, ma diventerà evidente nel tempo. Anche se è impossibile prevenire le interruzioni temporanee, è possibile però recuperarle. Tuttavia, la perdita completa (nessun backup disponibile) del database o del file ISO di configurazione renderà i dati del cliente irrecuperabili. Ci si aspetta che gli operatori dei nodi Hybrid Data Security mantengano backup frequenti del database e del file ISO di configurazione e siano pronti a ricostruire il data center Hybrid Data Security in caso di guasto catastrofico.
8	Assicurati che la configurazione del firewall consenta la connettività per i nodi Hybrid Data Security come descritto in Requisiti di connettività esterna.
9	Installa Docker ( https://www.docker.com) su qualsiasi macchina locale che esegue un sistema operativo supportato (Microsoft Windows 10 Professional o Enterprise a 64 bit o Mac OSX Yosemite 10.10.3 o versioni successive) con un browser Web in grado di accedervi da http://127.0.0.1:8080. Si utilizza l'istanza Docker per scaricare ed eseguire HDS Setup Tool, che crea le informazioni di configurazione locale per tutti i nodi Hybrid Data Security. Potrebbe essere necessaria una licenza Docker Desktop. Per ulteriori informazioni, vedere Requisiti per Docker Desktop. Per installare ed eseguire HDS Setup Tool, il computer locale deve disporre della connettività descritta in Requisiti di connettività esterna.
10	Se si integra un proxy con Hybrid Data Security, assicurarsi che soddisfi i Requisiti del server proxy.

Impostare un cluster di sicurezza dei dati ibridi

Flusso di attività di distribuzione della sicurezza dei dati ibridi

Operazioni preliminari

1	Eseguire la configurazione iniziale e scaricare i file di installazione Scarica il file OVA sul tuo computer locale per utilizzarlo in seguito.
2	Creare una configurazione ISO per gli host HDS Utilizzare HDS Setup Tool per creare un file di configurazione ISO per i nodi Hybrid Data Security.
3	Installare l'OVA dell'host HDS Creare una macchina virtuale dal file OVA ed eseguire la configurazione iniziale, ad esempio le impostazioni di rete. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0 e 8.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
4	Configurare la VM Hybrid Data Security Accedi alla console della VM e imposta le credenziali di accesso. Configurare le impostazioni di rete per il nodo, se non sono state configurate al momento della distribuzione di OVA.
5	Carica e monta l'ISO di configurazione HDS Configurare la VM dal file di configurazione ISO creato con HDS Setup Tool.
6	Configurazione del nodo HDS per l'integrazione proxy Se l'ambiente di rete richiede la configurazione del proxy, specificare il tipo di proxy che verrà utilizzato per il nodo e, se necessario, aggiungere il certificato proxy all'archivio attendibile.
7	Registra il primo nodo nel cluster Registrare la VM sul cloud Cisco Webex come nodo Hybrid Data Security.
8	Crea e registra più nodi Completare la configurazione del cluster.
9	Attiva Multi-Tenant HDS su Partner Hub. Attiva HDS e gestisci le organizzazioni tenant su Partner Hub.

Eseguire la configurazione iniziale e scaricare i file di installazione

In questa attività, scaricherai un file OVA sul tuo computer (non sui server che hai configurato come nodi Hybrid Data Security). Questo file verrà utilizzato più avanti nel processo di installazione.

1	Accedi a Partner Hub, quindi fai clic su Servizi.
2	Nella sezione Servizi cloud, trova la scheda Hybrid Data Security, quindi fai clic su Configura. Fare clic su Imposta in Partner Hub è fondamentale per il processo di distribuzione. Non procedere con l'installazione senza aver completato questo passaggio.
3	Fare clic su Aggiungi una risorsa e fare clic su Scarica file .OVA nella scheda Installa e configura software. Le versioni precedenti del pacchetto software (OVA) non saranno compatibili con gli ultimi aggiornamenti di Hybrid Data Security. Ciò potrebbe causare problemi durante l'aggiornamento dell'applicazione. Assicuratevi di scaricare la versione più recente del file OVA. Puoi anche scaricare l'OVA in qualsiasi momento dalla sezione Aiuto. Fare clic su Impostazioni > Aiuto > Scarica il software Hybrid Data Security. Il download del file OVA inizia automaticamente. Salvare il file in una posizione sul computer.
4	Facoltativamente, fare clic su Consulta la guida alla distribuzione della sicurezza dei dati ibridi per verificare se è disponibile una versione successiva di questa guida.

Creare una configurazione ISO per gli host HDS

Il processo di installazione di Hybrid Data Security crea un file ISO. È quindi possibile utilizzare l'ISO per configurare l'host Hybrid Data Security.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Per la procedura di configurazione sono necessarie le credenziali di un account Partner Hub con diritti di amministratore completi.

Se non si dispone di una licenza Docker Desktop, è possibile utilizzare Podman Desktop per eseguire lo strumento di configurazione HDS per i passaggi da 1 a 5 nella procedura riportata di seguito. Per i dettagli, vedere Eseguire lo strumento di installazione HDS utilizzando Podman Desktop.

Se lo strumento di configurazione HDS viene eseguito dietro un proxy nel tuo ambiente, fornisci le impostazioni del proxy (server, porta, credenziali) tramite le variabili di ambiente Docker quando avvii il contenitore Docker nel passaggio 5 di seguito. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave master per la crittografia del database PostgreSQL o Microsoft SQL Server. Ogni volta che apporti modifiche alla configurazione, come queste, ti servirà la copia più recente di questo file:
- Credenziali del database
- Aggiornamenti dei certificati
- Modifiche alla politica di autorizzazione
Se si prevede di crittografare le connessioni al database, configurare la distribuzione di PostgreSQL o SQL Server per TLS.

1

Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali:

docker rmi ciscocitg/hds-setup:stable

In ambienti FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

2

Per accedere al registro dell'immagine Docker, inserire quanto segue:

docker login -u hdscustomersro

3

Alla richiesta della password, immettere questo cancelletto:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Scarica l'ultima immagine stabile per l'ambiente in uso:

In ambienti normali:

docker pull ciscocitg/hds-setup:stable

In ambienti FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

In ambienti normali senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

In ambienti normali con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In ambienti normali con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In ambienti FedRAMP senza un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

In ambienti FedRAMP con un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

6

Lo strumento di installazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost.

Utilizzare un browser Web per andare su localhost, http://127.0.0.1:8080e immettere il nome utente amministratore per Partner Hub quando richiesto.

Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per quell'account. Lo strumento visualizza quindi la richiesta di accesso standard.

7

Quando richiesto, immetti le credenziali di accesso dell'amministratore di Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per Hybrid Data Security.

8

Nella pagina di panoramica dello strumento di configurazione, fare clic su Inizia.

9

Nella pagina Importazione ISO, hai le seguenti opzioni:

No—Se stai creando il tuo primo nodo HDS, non hai un file ISO da caricare.
Sì—Se hai già creato nodi HDS, seleziona il file ISO nel browser e caricalo.

10

Verificare che il certificato X.509 soddisfi i requisiti indicati in Requisiti del certificato X.509.

Se non hai mai caricato un certificato prima, carica il certificato X.509, inserisci la password e fai clic su Continua.
Se il certificato è valido, fare clic su Continua.
Se il certificato è scaduto o si desidera sostituirlo, selezionare No per Continuare a utilizzare la catena di certificati HDS e la chiave privata dall'ISO precedente?. Carica un nuovo certificato X.509, inserisci la password e clicca su Continua.

11

Inserisci l'indirizzo del database e l'account per consentire ad HDS di accedere al tuo archivio dati chiave:

Seleziona il tipo di database(PostgreSQL o Microsoft SQL Server).

Se si sceglie Microsoft SQL Server, si ottiene un campo Tipo di autenticazione.
(Microsoft SQL Server solo) Seleziona il tuo Tipo di autenticazione:
- Autenticazione di base: È necessario un nome di account SQL Server locale nel campo Nome utente.
- Autenticazione di Windows: È necessario un account Windows nel formato username@DOMAIN nel campo Nome utente.
Immettere l'indirizzo del server del database nel formato : o :.

Esempio:
dbhost.example.org:1433 o 198.51.100.17:1433

È possibile utilizzare un indirizzo IP per l'autenticazione di base, se i nodi non riescono a utilizzare il DNS per risolvere il nome host.

Se si utilizza l'autenticazione di Windows, è necessario immettere un nome di dominio completo nel formato dbhost.example.org:1433
Immettere il Nome del database.
Immettere il nome utentee la password di un utente con tutti i privilegi sul database di archiviazione delle chiavi.

12

Seleziona una Modalità di connessione al database TLS:

Mode	Descrizione
Preferisci TLS (opzione predefinita)	I nodi HDS non richiedono tls per la connessione al server di database. Se si abilita TLS sul server del database, i nodi tentano una connessione crittografata.
Richiedi TLS	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS.
Richiedere TLS e verificare il firmatario del certificato	Questa modalità non è applicabile ai database SQL Server. I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.
Richiedere TLS e verificare il firmatario e il nome host del certificato	I nodi HDS si connettono solo se il server di database può negoziare il protocollo TLS. Dopo aver stabilito una connessione TLS, il nodo confronta il firmatario del certificato dal server del database con l'autorità di certificazione nel Certificato radice del database. Se non corrispondono, il nodo elimina la connessione. I nodi verificano anche che il nome host nel certificato del server corrisponda al nome host nel campo Host del database e porta. I nomi devono corrispondere esattamente oppure il nodo elimina la connessione. Utilizzare il comando Database certificato radice sotto l'elenco a discesa per caricare il certificato radice per questa opzione.

Quando si carica il certificato radice (se necessario) e si fa clic su Continua, HDS Setup Tool verifica la connessione TLS al server del database. Lo strumento verifica anche il firmatario del certificato e il nome host, se applicabile. Se un test non riesce, lo strumento visualizza un messaggio di errore che descrive il problema. È possibile scegliere se ignorare l'errore e continuare l'installazione. (A causa delle differenze di connettività, i nodi HDS potrebbero essere in grado di stabilire la connessione TLS anche se la macchina con lo strumento di configurazione HDS non riesce a testarla correttamente.)

13

Nella pagina Registri di sistema, configura il tuo server Syslogd:

Inserisci l'URL del server syslog.

Se il server non è risolvibile tramite DNS dai nodi del cluster HDS, utilizzare un indirizzo IP nell'URL.

Esempio:
udp://10.92.43.23:514 indica la registrazione sull'host Syslogd 10.92.43.23 sulla porta UDP 514.
Se hai configurato il tuo server per utilizzare la crittografia TLS, seleziona Il tuo server syslog è configurato per la crittografia SSL?.

Se selezioni questa casella di controllo, assicurati di immettere un URL TCP come tcp://10.92.43.23:514.
Dal menu a discesa Scegli terminazione record syslog, seleziona l'impostazione appropriata per il tuo file ISO: Scegli o Nuova riga viene utilizzato per Graylog e Rsyslog TCP
- Byte nullo -- \x00
- Nuova riga -- \n—Selezionare questa opzione per Graylog e Rsyslog TCP.
Fare clic su Continua.

14

(Facoltativo) È possibile modificare il valore predefinito per alcuni parametri di connessione al database in Impostazioni avanzate. In genere, questo è l'unico parametro che potresti voler modificare:

app_datasource_connection_pool_maxSize: 10

15

Fare clic su Continua nella schermata Reimposta password account di servizio.

Le password degli account di servizio hanno una validità di nove mesi. Utilizza questa schermata quando le tue password stanno per scadere o quando vuoi reimpostarle per invalidare i file ISO precedenti.

16

Fare clic su Scarica file ISO. Salvare il file in un percorso facile da trovare.

17

Crea una copia di backup del file ISO sul tuo sistema locale.

Conservare la copia di backup in un luogo sicuro. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limitare l'accesso solo agli amministratori di Hybrid Data Security che devono apportare modifiche alla configurazione.

18

Per chiudere lo strumento di installazione, digitare CTRL+C.

Operazioni successive

Eseguire il backup del file ISO di configurazione. È necessario per creare più nodi per il ripristino o per apportare modifiche alla configurazione. Se perdi tutte le copie del file ISO, perderai anche la chiave principale. Non è possibile recuperare le chiavi dal database PostgreSQL o Microsoft SQL Server.

Non abbiamo mai una copia di questa chiave e non possiamo aiutarti se la perdi.

Installare l'OVA dell'host HDS

Utilizzare questa procedura per creare una macchina virtuale dal file OVA.

1	Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi.
2	Seleziona File > Distribuisci modello OVF.
3	Nella procedura guidata, specificare il percorso del file OVA scaricato in precedenza, quindi fare clic su Avanti.
4	Nella pagina Seleziona un nome e una cartella, immetti un Nome macchina virtuale per il nodo (ad esempio, "HDS_Node_1"), scegli una posizione in cui può risiedere la distribuzione del nodo della macchina virtuale, quindi fai clic su Avanti.
5	Nella pagina Seleziona una risorsa di calcolo, scegli la risorsa di calcolo di destinazione, quindi fai clic su Avanti. Viene eseguito un controllo di convalida. Al termine, vengono visualizzati i dettagli del modello.
6	Verificare i dettagli del modello e quindi fare clic su Avanti.
7	Se ti viene chiesto di scegliere la configurazione delle risorse nella pagina Configurazione, fai clic su 4 CPU e quindi su Avanti.
8	Nella pagina Seleziona archiviazione, fare clic su Avanti per accettare il formato del disco predefinito e i criteri di archiviazione della VM.
9	Nella pagina Seleziona reti, seleziona l'opzione di rete dall'elenco di voci per fornire la connettività desiderata alla VM.
10	Nella pagina Personalizza modello, configura le seguenti impostazioni di rete: Nome host—Immettere il nome di dominio completo (FQDN) o un nome host composto da una sola parola per il nodo. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509. Per garantire una registrazione corretta sul cloud, utilizzare solo caratteri minuscoli nel nome FQDN o nel nome host impostato per il nodo. La capitalizzazione non è attualmente supportata. La lunghezza totale del FQDN non deve superare i 64 caratteri. Indirizzo IP— Immettere l'indirizzo IP per l'interfaccia interna del nodo. Il tuo nodo dovrebbe avere un indirizzo IP interno e un nome DNS. DHCP non è supportato. Maschera—Immettere l'indirizzo della maschera di sottorete in notazione decimale con punto. Ad esempio, 255.255.255.0. Gateway—Immettere l'indirizzo IP del gateway. Un gateway è un nodo di rete che funge da punto di accesso a un'altra rete. Server DNS—Immettere un elenco separato da virgole di server DNS che gestiscono la traduzione dei nomi di dominio in indirizzi IP numerici. (Sono consentite fino a 4 voci DNS.) Server NTP—Inserisci il server NTP della tua organizzazione o un altro server NTP esterno che può essere utilizzato nella tua organizzazione. I server NTP predefiniti potrebbero non funzionare per tutte le aziende. È anche possibile utilizzare un elenco separato da virgole per immettere più server NTP. Distribuisci tutti i nodi sulla stessa subnet o VLAN, in modo che tutti i nodi di un cluster siano raggiungibili dai client nella tua rete per scopi amministrativi. Se preferisci, puoi saltare la configurazione delle impostazioni di rete e seguire i passaggi in Configurare la VM Hybrid Data Security per configurare le impostazioni dalla console del nodo. L'opzione per configurare le impostazioni di rete durante la distribuzione OVA è stata testata con ESXi 7.0 e 8.0. L'opzione potrebbe non essere disponibile nelle versioni precedenti.
11	Fare clic con il pulsante destro del mouse sul nodo VM, quindi scegliere Accensione > Accensione. Il software Hybrid Data Security è installato come guest sull'host VM. Ora sei pronto per accedere alla console e configurare il nodo. Suggerimenti per la risoluzione dei problemi Potrebbe verificarsi un ritardo di alcuni minuti prima che i contenitori dei nodi vengano attivati. Durante il primo avvio, sulla console viene visualizzato un messaggio relativo al firewall del bridge, durante il quale non è possibile effettuare l'accesso.

Configurare la VM Hybrid Data Security

Utilizzare questa procedura per accedere per la prima volta alla console della VM del nodo Hybrid Data Security e impostare le credenziali di accesso. È anche possibile utilizzare la console per configurare le impostazioni di rete per il nodo, se non sono state configurate al momento della distribuzione di OVA.

1	Nel client VMware vSphere, seleziona il nodo VM Hybrid Data Security e seleziona la scheda Console. La macchina virtuale si avvia e viene visualizzata una richiesta di accesso. Se il prompt di accesso non viene visualizzato, premere Invio.
2	Utilizza le seguenti credenziali predefinite per effettuare l'accesso e modificare le credenziali: Login: `admin` Password: `cisco` Poiché è la prima volta che accedi alla tua VM, ti verrà chiesto di modificare la password dell'amministratore.
3	Se hai già configurato le impostazioni di rete in Installa HDS Host OVA, salta il resto di questa procedura. Altrimenti, nel menu principale, seleziona l'opzione Modifica configurazione.
4	Imposta una configurazione statica con indirizzo IP, maschera, gateway e informazioni DNS. Il tuo nodo dovrebbe avere un indirizzo IP interno e un nome DNS. DHCP non è supportato.
5	(Facoltativo) Se necessario, modifica il nome host, il dominio o il/i server NTP per adattarli ai tuoi criteri di rete. Non è necessario impostare il dominio in modo che corrisponda al dominio utilizzato per ottenere il certificato X.509.
6	Salvare la configurazione di rete e riavviare la macchina virtuale affinché le modifiche abbiano effetto.

Carica e monta l'ISO di configurazione HDS

Utilizzare questa procedura per configurare la macchina virtuale dal file ISO creato con HDS Setup Tool.

Operazioni preliminari

Poiché il file ISO contiene la chiave principale, dovrebbe essere esposto solo in caso di necessità, per consentire l'accesso alle VM di Hybrid Data Security e agli amministratori che potrebbero aver bisogno di apportare modifiche. Assicurarsi che solo gli amministratori in questione possano accedere al datastore.

1

Carica il file ISO dal tuo computer:

Nel riquadro di navigazione sinistro del client VMware vSphere, fare clic sul server ESXi.
Nell'elenco Hardware della scheda Configurazione, fare clic su Archiviazione.
Nell'elenco Datastore, fare clic con il pulsante destro del mouse sul datastore per le VM e fare clic su Sfoglia datastore.
Fare clic sull'icona Carica file, quindi fare clic su Carica file.
Vai alla posizione in cui hai scaricato il file ISO sul tuo computer e clicca su Apri.
Fare clic su Sì per accettare upload/download avviso di operazione e chiudere la finestra di dialogo dell'archivio dati.

2

Montare il file ISO:

Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
Fare clic su OK per accettare l'avviso sulle opzioni di modifica limitate.
Fare clic su CD/DVD Drive 1, selezionare l'opzione per montare da un file ISO dell'archivio dati e andare alla posizione in cui è stato caricato il file ISO di configurazione.
Selezionare Connesso e Connetti all'accensione.
Salvare le modifiche e riavviare la macchina virtuale.

Operazioni successive

Se la tua policy IT lo richiede, puoi facoltativamente smontare il file ISO dopo che tutti i tuoi nodi hanno acquisito le modifiche alla configurazione. Per i dettagli, vedere (Facoltativo) Smonta ISO dopo la configurazione HDS.

Configurazione del nodo HDS per l'integrazione proxy

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Operazioni preliminari

Vedere Supporto proxy per una panoramica delle opzioni proxy supportate.
Requisiti del server proxy

1	Inserisci l'URL di configurazione del nodo HDS `https://[HDS Node IP or FQDN]/setup` in un browser Web, immetti le credenziali di amministratore che hai impostato per il nodo, quindi fai clic su Accedi.
2	Andare a attendibilità archivio e proxy, quindi scegliere un'opzione: Nessun proxy—L'opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto. Proxy trasparente non ispezionante—I nodi non sono configurati per utilizzare un indirizzo server proxy specifico e non dovrebbero richiedere alcuna modifica per funzionare con un proxy non ispezionante. Nessun aggiornamento certificato richiesto. Proxy di ispezione trasparente—I nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS). Proxy esplicito—Con il proxy esplicito, si indica al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni: Procuratore IP/FQDN—Indirizzo che può essere utilizzato per raggiungere la macchina proxy. Porta proxy—Un numero di porta che il proxy utilizza per ascoltare il traffico proxy. Protocollo proxy—Scegli http (visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy. Tipo di autenticazione—Scegli tra i seguenti tipi di autenticazione: Nessuno—Non è richiesta alcuna ulteriore autenticazione. Disponibile per proxy HTTP o HTTPS. Base— Utilizzato per consentire a un agente utente HTTP di fornire un nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64. Disponibile per proxy HTTP o HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Digest—Utilizzato per confermare l'account prima di inviare informazioni sensibili. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete. Disponibile solo per i proxy HTTPS. Se si sceglie questa opzione, è necessario inserire anche nome utente e password. Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.
3	Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy. Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.
4	Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy. Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se ritieni che si tratti di un errore, completa questi passaggi e poi consulta Disattiva la modalità di risoluzione DNS esterna bloccata.
5	Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.
6	Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti. Il nodo si riavvia tra pochi minuti.
7	Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde. Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Registra il primo nodo nel cluster

Questa attività prende il nodo generico creato in Imposta la VM Hybrid Data Security, registra il nodo con il cloud Webex e lo trasforma in un nodo Hybrid Data Security.

Quando registri il tuo primo nodo, crei un cluster a cui il nodo viene assegnato. Un cluster contiene uno o più nodi distribuiti per fornire ridondanza.

Operazioni preliminari

Una volta avviata la registrazione di un nodo, è necessario completarla entro 60 minuti, altrimenti sarà necessario ricominciare da capo.
Assicurati che tutti i blocchi pop-up nel tuo browser siano disattivati o che sia consentita un'eccezione per admin.webex.com.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, seleziona Servizi.
3	Nella sezione Servizi cloud, trova la scheda Hybrid Data Security e fai clic su Configura.
4	Nella pagina che si apre, clicca su Aggiungi una risorsa.
5	Nel primo campo della scheda Aggiungi un nodo, immetti un nome per il cluster a cui desideri assegnare il nodo Hybrid Data Security. Ti consigliamo di assegnare un nome al cluster in base alla posizione geografica dei suoi nodi. Esempi: "San Francisco" o "New York" o "Dallas"
6	Nel secondo campo, immetti l'indirizzo IP interno o il nome di dominio completo (FQDN) del tuo nodo e fai clic su Aggiungi nella parte inferiore della schermata. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Configurazione della VM Hybrid Data Security. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
7	Fare clic su Vai al nodo. Dopo qualche istante, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test hanno esito positivo, viene visualizzata la pagina Consenti l'accesso al nodo di sicurezza dei dati ibridi. Qui puoi confermare di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al tuo nodo.
8	Seleziona la casella di controllo Consenti l'accesso al tuo nodo di sicurezza dati ibrido, quindi fai clic su Continua. Il tuo account è convalidato e il messaggio "Registrazione completata" indica che il tuo nodo è ora registrato sul cloud Webex.
9	Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi del Partner Hub. Nella pagina Hybrid Data Security, il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse. Il nodo scaricherà automaticamente il software più recente dal cloud.

Crea e registra più nodi

Per aggiungere altri nodi al cluster, è sufficiente creare altre VM e montare lo stesso file ISO di configurazione, quindi registrare il nodo. Ti consigliamo di avere almeno 3 nodi.

Operazioni preliminari

Una volta avviata la registrazione di un nodo, è necessario completarla entro 60 minuti, altrimenti sarà necessario ricominciare da capo.
Assicurati che tutti i blocchi pop-up nel tuo browser siano disattivati o che sia consentita un'eccezione per admin.webex.com.

1	Creare una nuova macchina virtuale dall'OVA, ripetendo i passaggi in Installare l'OVA dell'host HDS.
2	Impostare la configurazione iniziale sulla nuova VM, ripetendo i passaggi in Impostare la VM Hybrid Data Security.
3	Sulla nuova VM, ripetere i passaggi in Caricare e montare l'ISO di configurazione HDS.
4	Se si sta configurando un proxy per la distribuzione, ripetere i passaggi in Configurare il nodo HDS per l'integrazione del proxy in base alle esigenze per il nuovo nodo.
5	Registra il nodo. In https://admin.webex.com, seleziona Servizi dal menu sul lato sinistro dello schermo. Nella sezione Servizi cloud, trova la scheda Sicurezza dati ibrida e fai clic su Visualizza tutto. Viene visualizzata la pagina Risorse per la sicurezza dei dati ibridi. Il cluster appena creato apparirà nella pagina Risorse. Fare clic sul cluster per visualizzare i nodi assegnati al cluster. Fare clic su Aggiungi un nodo sul lato destro dello schermo. Inserisci l'indirizzo IP interno o il nome di dominio completo (FQDN) del tuo nodo e fai clic su Aggiungi. Si apre una pagina con un messaggio che indica che è possibile registrare il nodo sul cloud Webex. Dopo qualche istante, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test hanno esito positivo, viene visualizzata la pagina Consenti l'accesso al nodo di sicurezza dei dati ibridi. Qui puoi confermare di voler concedere alla tua organizzazione le autorizzazioni per accedere al tuo nodo. Seleziona la casella di controllo Consenti l'accesso al tuo nodo di sicurezza dati ibrido, quindi fai clic su Continua. Il tuo account è convalidato e il messaggio "Registrazione completata" indica che il tuo nodo è ora registrato sul cloud Webex. Fare clic sul collegamento o chiudere la scheda per tornare alla pagina Sicurezza dei dati ibridi del Partner Hub. Il messaggio pop-up Nodo aggiunto appare anche nella parte inferiore dello schermo in Partner Hub. Il tuo nodo è registrato.

Gestire le organizzazioni tenant sulla sicurezza dei dati ibrida multi-tenant

Attiva Multi-Tenant HDS su Partner Hub

Questa attività garantisce che tutti gli utenti delle organizzazioni dei clienti possano iniziare a sfruttare HDS per le chiavi di crittografia on-premise e altri servizi di sicurezza.

Operazioni preliminari

Assicurati di aver completato la configurazione del tuo cluster HDS Multi-Tenant con il numero richiesto di nodi.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, seleziona Servizi.
3	Nella sezione Servizi cloud, trova Sicurezza dati ibrida e fai clic su Modifica impostazioni.
4	Fare clic su Attiva HDS nella scheda Stato HDS.

Aggiungere organizzazioni tenant in Partner Hub

In questa attività, assegnerai le organizzazioni dei clienti al tuo cluster Hybrid Data Security.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, seleziona Servizi.
3	Nella sezione Servizi cloud, trova Hybrid Data Security e fai clic su Visualizza tutto.
4	Fare clic sul cluster al quale si desidera assegnare un cliente.
5	Vai alla scheda Clienti assegnati.
6	Fare clic su Aggiungi clienti.
7	Seleziona dal menu a discesa il cliente che desideri aggiungere.
8	Fare clic su Aggiungi, il cliente verrà aggiunto al cluster.
9	Ripeti i passaggi da 6 a 8 per aggiungere più clienti al tuo cluster.
10	Dopo aver aggiunto i clienti, fare clic su Fine nella parte inferiore dello schermo.

Operazioni successive

Eseguire lo strumento di installazione HDS come descritto in Creare le chiavi principali del cliente (CMK) utilizzando lo strumento di installazione HDS per completare il processo di installazione.

Crea chiavi principali del cliente (CMK) utilizzando lo strumento di configurazione HDS

Operazioni preliminari

Assegnare i clienti al cluster appropriato come descritto in Aggiungere organizzazioni tenant in Partner Hub. Eseguire lo strumento di installazione HDS per completare il processo di configurazione per le organizzazioni clienti appena aggiunte.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Per la procedura di configurazione sono necessarie le credenziali di un account Partner Hub con diritti di amministratore completi per la tua organizzazione.

Se lo strumento di configurazione HDS viene eseguito dietro un proxy nel tuo ambiente, fornisci le impostazioni del proxy (server, porta, credenziali) tramite le variabili di ambiente Docker quando avvii il contenitore Docker nel passaggio 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave master per la crittografia del database PostgreSQL o Microsoft SQL Server. Ogni volta che apporti modifiche alla configurazione, come queste, ti servirà la copia più recente di questo file:
- Credenziali del database
- Aggiornamenti dei certificati
- Modifiche alla politica di autorizzazione
Se si prevede di crittografare le connessioni al database, configurare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di installazione di Hybrid Data Security crea un file ISO. È quindi possibile utilizzare l'ISO per configurare l'host Hybrid Data Security.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `docker login -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di installazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizzare un browser Web per andare su localhost, `http://127.0.0.1:8080`e immettere il nome utente amministratore per Partner Hub quando richiesto. Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per quell'account. Lo strumento visualizza quindi la richiesta di accesso standard.
7	Quando richiesto, immetti le credenziali di accesso dell'amministratore di Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per Hybrid Data Security.
8	Nella pagina di panoramica dello strumento di configurazione, fare clic su Inizia.
9	Nella pagina Importazione ISO, fare clic su Sì.
10	Seleziona il file ISO nel browser e caricalo. Assicurare la connettività al database per eseguire la gestione CMK.
11	Vai alla scheda Gestione CMK tenant, dove troverai i tre modi seguenti per gestire i CMK tenant. Crea CMK per tutte le ORG o Crea CMK - Fai clic su questo pulsante nel banner nella parte superiore dello schermo per creare CMK per tutte le organizzazioni appena aggiunte. Fare clic sul pulsante Gestisci CMK sul lato destro dello schermo e fare clic su Crea CMK per creare CMK per tutte le organizzazioni appena aggiunte. Fare clic su … accanto allo stato di attesa della gestione CMK di un'organizzazione specifica nella tabella e fare clic su Crea CMK per creare CMK per tale organizzazione.
12	Una volta che la creazione della CMK è riuscita, lo stato nella tabella cambierà da Gestione CMK in sospeso a CMK gestito.
13	Se la creazione della CMK non riesce, verrà visualizzato un errore.

Rimuovi le organizzazioni tenant

Operazioni preliminari

Una volta rimossi, gli utenti delle organizzazioni dei clienti non saranno in grado di sfruttare HDS per le loro esigenze di crittografia e perderanno tutti gli spazi esistenti. Prima di rimuovere le organizzazioni dei clienti, contatta il tuo partner Cisco o il tuo account manager.

1	Accedere a https://admin.webex.com.
2	Dal menu sul lato sinistro dello schermo, seleziona Servizi.
3	Nella sezione Servizi cloud, trova Hybrid Data Security e fai clic su Visualizza tutto.
4	Nella scheda Risorse, fare clic sul cluster da cui si desidera rimuovere le organizzazioni clienti.
5	Nella pagina che si apre, fare clic su Clienti assegnati.
6	Dall'elenco delle organizzazioni clienti visualizzato, fare clic su ... sul lato destro dell'organizzazione cliente che si desidera rimuovere e fare clic su Rimuovi dal cluster.

Operazioni successive

Completa il processo di rimozione revocando le CMK delle organizzazioni clienti come descritto in Revoca le CMK dei tenant rimossi da HDS.

Revoca le CMK degli inquilini rimossi da HDS.

Operazioni preliminari

Rimuovere i clienti dal cluster appropriato come descritto in Rimuovere le organizzazioni tenant. Eseguire lo strumento di installazione HDS per completare il processo di rimozione per le organizzazioni clienti rimosse.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Per la procedura di configurazione sono necessarie le credenziali di un account Partner Hub con diritti di amministratore completi per la tua organizzazione.

Se lo strumento di installazione HDS viene eseguito dietro un proxy nel tuo ambiente, fornisci le impostazioni del proxy (server, porta, credenziali) tramite le variabili di ambiente Docker quando avvii il contenitore Docker nel passaggio 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave master per la crittografia del database PostgreSQL o Microsoft SQL Server. Ogni volta che apporti modifiche alla configurazione, come queste, ti servirà la copia più recente di questo file:
- Credenziali del database
- Aggiornamenti dei certificati
- Modifiche alla politica di autorizzazione
Se si prevede di crittografare le connessioni al database, configurare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di installazione di Hybrid Data Security crea un file ISO. È quindi possibile utilizzare l'ISO per configurare l'host Hybrid Data Security.

1	Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.
2	Per accedere al registro dell'immagine Docker, inserire quanto segue: `docker login -u hdscustomersro`
3	Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".
6	Lo strumento di installazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Utilizzare un browser Web per andare su localhost, `http://127.0.0.1:8080`e immettere il nome utente amministratore per Partner Hub quando richiesto. Lo strumento utilizza questa prima voce del nome utente per impostare l'ambiente appropriato per quell'account. Lo strumento visualizza quindi la richiesta di accesso standard.
7	Quando richiesto, immetti le credenziali di accesso dell'amministratore di Partner Hub, quindi fai clic su Accedi per consentire l'accesso ai servizi richiesti per Hybrid Data Security.
8	Nella pagina di panoramica dello strumento di configurazione, fare clic su Inizia.
9	Nella pagina Importazione ISO, fare clic su Sì.
10	Seleziona il file ISO nel browser e caricalo.
11	Vai alla scheda Gestione CMK tenant, dove troverai i tre modi seguenti per gestire i CMK tenant. Revoca CMK per tutte le ORG o Revoca CMK - Fai clic su questo pulsante nel banner in cima allo schermo per revocare le CMK di tutte le organizzazioni che sono state rimosse. Fare clic sul pulsante Gestisci CMK sul lato destro dello schermo e fare clic su Revoca CMK per revocare le CMK di tutte le organizzazioni che sono state rimosse. Fare clic su … accanto allo stato CMK da revocare di un'organizzazione specifica nella tabella e fare clic su Revoca CMK per revocare CMK per quell'organizzazione specifica.
12	Una volta che la revoca CMK avrà esito positivo, l'organizzazione del cliente non apparirà più nella tabella.
13	Se la revoca CMK non riesce, verrà visualizzato un errore.

Metti alla prova la tua distribuzione di sicurezza dei dati ibridi

Utilizzare questa procedura per testare gli scenari di crittografia Multi-Tenant Hybrid Data Security.

Operazioni preliminari

Configura la distribuzione della sicurezza dei dati ibrida multi-tenant.
Assicurati di avere accesso al syslog per verificare che le richieste chiave vengano inoltrate alla distribuzione Multi-Tenant Hybrid Data Security.

1

Le chiavi per un dato spazio vengono impostate dal creatore dello spazio. Accedi all'app Webex come uno degli utenti dell'organizzazione del cliente, quindi crea uno spazio.

Se si disattiva la distribuzione Hybrid Data Security, il contenuto degli spazi creati dagli utenti non sarà più accessibile una volta sostituite le copie delle chiavi di crittografia memorizzate nella cache del client.

2

Invia messaggi al nuovo spazio.

3

Controllare l'output del syslog per verificare che le richieste chiave vengano trasmesse alla distribuzione Hybrid Data Security.

Se un utente di un'organizzazione cliente appena aggiunta esegue un'azione, l'ID dell'organizzazione verrà visualizzato nei registri e potrà essere utilizzato per verificare che l'organizzazione stia sfruttando Multi-Tenant HDS. Controllare il valore di kms.data.orgId nei syslog.

Per verificare se un utente ha stabilito per primo un canale sicuro con il KMS, filtrare su kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Dovresti trovare una voce come la seguente (gli identificatori sono stati abbreviati per una migliore leggibilità):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Per verificare se un utente ha richiesto una chiave esistente dal KMS, filtrare su kms.data.method=retrieve e kms.data.type=KEY:

Si dovrebbe trovare una voce come:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Per verificare se un utente ha richiesto la creazione di una nuova chiave KMS, filtrare su kms.data.method=create e kms.data.type=KEY_COLLECTION:

Si dovrebbe trovare una voce come:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Per verificare se un utente richiede la creazione di un nuovo KMS Resource Object (KRO) quando viene creato uno spazio o un'altra risorsa protetta, filtrare su kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Si dovrebbe trovare una voce come:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Monitorare lo stato di sicurezza dei dati ibridi

Un indicatore di stato all'interno di Partner Hub mostra se l'implementazione della sicurezza dei dati ibrida multi-tenant procede correttamente. Per ricevere avvisi più proattivi, registrati per ricevere notifiche via email. Verrai avvisato in caso di allarmi che incidono sul servizio o aggiornamenti software.

1	In Partner Hub, seleziona Servizi dal menu sul lato sinistro dello schermo.
2	Nella sezione Servizi cloud, trova Sicurezza dati ibrida e fai clic su Modifica impostazioni. Viene visualizzata la pagina Impostazioni di sicurezza dei dati ibridi.
3	Nella sezione Notifiche e-mail, digita uno o più indirizzi e-mail separati da virgole e premi Invio.

Gestisci la tua distribuzione HDS

Gestire la distribuzione HDS

Utilizza le attività descritte qui per gestire la distribuzione della sicurezza dei dati ibridi.

Imposta la pianificazione dell'aggiornamento del cluster

Gli aggiornamenti software per Hybrid Data Security vengono eseguiti automaticamente a livello di cluster, il che garantisce che tutti i nodi eseguano sempre la stessa versione del software. Gli aggiornamenti vengono eseguiti in base al programma di aggiornamento del cluster. Quando diventa disponibile un aggiornamento software, hai la possibilità di aggiornare manualmente il cluster prima dell'orario di aggiornamento pianificato. È possibile impostare una pianificazione di aggiornamento specifica o utilizzare la pianificazione predefinita di 3:00 AM Daily Stati Uniti: America/Los Angeles. Se necessario, puoi anche scegliere di posticipare un aggiornamento imminente.

Per impostare la pianificazione dell'aggiornamento:

1	Accedere all'hub partner.
2	Dal menu sul lato sinistro dello schermo, seleziona Servizi.
3	Nella sezione Servizi cloud, trova Hybrid Data Security e fai clic su Configura
4	Nella pagina Risorse di sicurezza dei dati ibridi, seleziona il cluster.
5	Fare clic sulla scheda Impostazioni cluster.
6	Nella pagina Impostazioni cluster, in Pianificazione aggiornamento, seleziona l'ora e il fuso orario per la pianificazione dell'aggiornamento. Nota: Sotto il fuso orario vengono visualizzate la data e l'ora del prossimo aggiornamento disponibile. Se necessario, puoi posticipare l'aggiornamento al giorno successivo cliccando su Posticipa di 24 ore.

Modificare la configurazione del nodo

A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.
Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.
Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

Soft reset— Sia la vecchia che la nuova password funzionano per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.
Hard reset—Le vecchie password smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Per la procedura di configurazione sono necessarie le credenziali di un account Partner Hub con diritti di amministratore completo.

Se non si dispone di una licenza Docker Desktop, è possibile utilizzare Podman Desktop per eseguire lo strumento di configurazione HDS per i passaggi da 1.a a 1.e nella procedura riportata di seguito. Per i dettagli, vedere Eseguire lo strumento di installazione HDS utilizzando Podman Desktop.

Se lo strumento di configurazione HDS viene eseguito dietro un proxy nel tuo ambiente, fornisci le impostazioni del proxy (server, porta, credenziali) tramite le variabili di ambiente Docker quando avvii il contenitore Docker in 1.e. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'isO contiene la chiave principale per la crittografia del database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1	Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso: In ambienti normali: `docker rmi ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare. Per accedere al registro dell'immagine Docker, inserire quanto segue: `docker login -u hdscustomersro` Alla richiesta della password, immettere questo cancelletto: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Scarica l'ultima immagine stabile per l'ambiente in uso: In ambienti normali: `docker pull ciscocitg/hds-setup:stable` In ambienti FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password. Al termine del pull, immettere il comando appropriato per l'ambiente in uso: In ambienti normali senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` In ambienti normali con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti normali con un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` In ambienti FedRAMP senza un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` In ambienti FedRAMP con un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080". Utilizzare un browser per eseguire la connessione all'host locale, `http://127.0.0.1:8080`. Lo strumento di installazione non supporta la connessione a localhost tramite http://localhost:8080. Utilizzare http://127.0.0.1:8080 per connettersi a localhost. Quando richiesto, immetti le credenziali di accesso del cliente Partner Hub, quindi fai clic su Accetta per continuare. Importare il file ISO di configurazione corrente. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato. Per chiudere lo strumento di installazione, digitare `CTRL+C`. Creare una copia di backup del file aggiornato in un altro centro dati.
2	Se è in esecuzione un solo nodo HDS, creare una nuova VM del nodo Hybrid Data Security e registrarla utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creare e registrare più nodi. Installare il file OVA dell'host HDS. Impostare la macchina virtuale HDS. Montare il file di configurazione aggiornato. Registra il nuovo nodo in Partner Hub.
3	Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo: Disattivare la macchina virtuale. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni. Fare clic su `CD/DVD Drive 1`, selezionare l'opzione per montare da un file ISO e andare alla posizione in cui è stato scaricato il nuovo file ISO di configurazione. Selezionare Connetti all'accensione. Salvare le modifiche e accendere la macchina virtuale.
4	Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.

Disattiva modalità di risoluzione DNS esterna bloccata

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Se il server DNS del nodo non riesce a risolvere i nomi DNS pubblici, il nodo passa automaticamente alla modalità di risoluzione DNS esterna bloccata.

Se i nodi sono in grado di risolvere i nomi DNS pubblici attraverso i server DNS interni, è possibile disattivare questa modalità eseguendo nuovamente il test di connessione proxy su ciascun nodo.

Operazioni preliminari

Assicurarsi che i server DNS interni possano risolvere i nomi DNS pubblici e che i nodi possano comunicare con essi.

1	In un browser Web, aprire l'interfaccia del nodo Hybrid Data Security (IP address/setup, ad esempio, https://192.0.2.0/setup), inserisci le credenziali di amministratore che hai impostato per il nodo, quindi fai clic su Accedi.
2	Andare a Panoramica (pagina predefinita). Quando questa opzione è abilitata, la risoluzione DNS esterna bloccata è impostata su Sì.
3	Andare alla pagina Archivio attendibili e proxy .
4	Fare clic su Controlla connessione proxy. Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è stato in grado di raggiungere il server DNS e rimarrà in questa modalità. Altrimenti, dopo aver riavviato il nodo e tornare alla pagina Panoramica, la risoluzione DNS esterna bloccata deve essere impostata su No.

Operazioni successive

Ripetere il test della connessione proxy su ciascun nodo nel cluster di sicurezza dei dati ibridi.

Rimuovi un nodo

Utilizzare questa procedura per rimuovere un nodo Hybrid Data Security dal cloud Webex. Dopo aver rimosso il nodo dal cluster, elimina la macchina virtuale per impedire ulteriori accessi ai tuoi dati di sicurezza.

1

Utilizzare il client VMware vSphere sul computer per accedere all'host virtuale ESXi e spegnere la macchina virtuale.

2

Rimuovi il nodo:

Accedi a Partner Hub, quindi seleziona Servizi.
Nella scheda Hybrid Data Security, fare clic su Visualizza tutto per visualizzare la pagina Risorse Hybrid Data Security.
Seleziona il tuo cluster per visualizzarne il pannello Panoramica.
Fare clic sul nodo che si desidera rimuovere.
Fare clic su Annulla registrazione di questo nodo nel pannello che appare a destra
È anche possibile annullare la registrazione del nodo facendo clic su … sul lato destro del nodo e selezionando Rimuovi questo nodo.

3

Nel client vSphere, eliminare la VM. (Nel riquadro di navigazione a sinistra, fare clic con il pulsante destro del mouse sulla VM e fare clic su Elimina.)

Se non elimini la VM, ricordati di smontare il file ISO di configurazione. Senza il file ISO, non è possibile utilizzare la macchina virtuale per accedere ai dati di sicurezza.

Ripristino di emergenza tramite Standby Data Center

Il servizio più importante fornito dal cluster Hybrid Data Security è la creazione e l'archiviazione delle chiavi utilizzate per crittografare i messaggi e altri contenuti archiviati nel cloud Webex. Per ogni utente all'interno dell'organizzazione a cui è assegnato Hybrid Data Security, le nuove richieste di creazione delle chiavi vengono inoltrate al cluster. Il cluster è anche responsabile della restituzione delle chiavi create a tutti gli utenti autorizzati a recuperarle, ad esempio i membri di uno spazio di conversazione.

Poiché il cluster svolge la funzione critica di fornire queste chiavi, è fondamentale che rimanga in esecuzione e che vengano mantenuti backup adeguati. La perdita del database Hybrid Data Security o della configurazione ISO utilizzata per lo schema comporterà una PERDITA IRRECUPERABILI dei contenuti del cliente. Per prevenire tale perdita sono obbligatorie le seguenti pratiche:

Se un disastro rende indisponibile la distribuzione HDS nel data center primario, seguire questa procedura per effettuare manualmente il failover nel data center di standby.

Operazioni preliminari

Annullare la registrazione di tutti i nodi da Partner Hub come indicato in Rimuovi un nodo. Utilizzare l'ultimo file ISO configurato per i nodi del cluster precedentemente attivo per eseguire la procedura di failover menzionata di seguito.

1	Avviare lo strumento di installazione HDS e seguire i passaggi indicati in Creare un ISO di configurazione per gli host HDS.
2	Completa il processo di configurazione e salva il file ISO in un percorso facile da trovare.
3	Crea una copia di backup del file ISO sul tuo sistema locale. Conservare la copia di backup in un luogo sicuro. Questo file contiene una chiave di crittografia principale per il contenuto del database. Limitare l'accesso solo agli amministratori di Hybrid Data Security che devono apportare modifiche alla configurazione.
4	Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.
5	Fare clic su Modifica impostazioni >CD/DVD Unità 1 e seleziona File ISO Datastore. Assicurarsi che Connesso e Connetti all'accensione siano selezionati in modo che le modifiche alla configurazione aggiornate possano avere effetto dopo l'avvio dei nodi.
6	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 15 minuti.
7	Registra il nodo nell'hub Partner. Fare riferimento a Registrare il primo nodo nel cluster.
8	Ripetere il processo per ogni nodo nel data center di standby.

Operazioni successive

Dopo il failover, se il data center primario torna attivo, annullare la registrazione dei nodi del data center di standby e ripetere il processo di configurazione ISO e di registrazione dei nodi del data center primario come indicato sopra.

(Facoltativo) Smonta ISO dopo la configurazione HDS

La configurazione HDS standard funziona con l'ISO montato. Tuttavia, alcuni clienti preferiscono non lasciare i file ISO montati continuamente. È possibile smontare il file ISO dopo che tutti i nodi HDS avranno acquisito la nuova configurazione.

Per apportare modifiche alla configurazione è ancora possibile utilizzare i file ISO. Quando si crea un nuovo ISO o se ne aggiorna uno tramite lo strumento di configurazione, è necessario montare l'ISO aggiornato su tutti i nodi HDS. Una volta che tutti i nodi hanno applicato le modifiche alla configurazione, puoi smontare nuovamente l'ISO con questa procedura.

Operazioni preliminari

Aggiorna tutti i tuoi nodi HDS alla versione 2021.01.22.4720 o successiva.

1	Spegnere uno dei nodi HDS.
2	In vCenter Server Appliance, selezionare il nodo HDS.
3	Scegli Modifica impostazioni > CD/DVD unità e deseleziona File ISO Datastore.
4	Accendere il nodo HDS e assicurarsi che non vi siano allarmi per almeno 20 minuti.
5	Ripetere la stessa operazione per ogni nodo HDS.

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizza avvisi e risoluzione dei problemi

Una distribuzione Hybrid Data Security è considerata non disponibile se tutti i nodi del cluster sono irraggiungibili o se il cluster funziona così lentamente che le richieste scadono. Se gli utenti non riescono a raggiungere il cluster Hybrid Data Security, riscontrano i seguenti sintomi:

Non è possibile creare nuovi spazi (impossibile creare nuove chiavi)
Messaggi e titoli degli spazi non riescono a decifrare per:
- Nuovi utenti aggiunti a uno spazio (impossibile recuperare le chiavi)
- Utenti esistenti in uno spazio che utilizzano un nuovo client (impossibile recuperare le chiavi)
Gli utenti esistenti in uno spazio continueranno a funzionare correttamente finché i loro client avranno una cache delle chiavi di crittografia

È importante monitorare adeguatamente il cluster Hybrid Data Security e rispondere tempestivamente a eventuali avvisi per evitare interruzioni del servizio.

Avvisi

In caso di problemi con la configurazione della sicurezza dei dati ibridi, Partner Hub visualizza avvisi per l'amministratore dell'organizzazione e invia e-mail all'indirizzo e-mail configurato. Gli avvisi riguardano molti scenari comuni.

Tabella 1. Problemi comuni e passaggi per risolverli
Avviso	Azione
Errore di accesso al database locale.	Verificare la presenza di errori del database o problemi della rete locale.
Errore di connessione al database locale.	Verificare che il server del database sia disponibile e che siano state utilizzate le credenziali corrette dell'account di servizio nella configurazione del nodo.
Errore di accesso al servizio cloud.	Verificare che i nodi possano accedere ai server Webex come specificato in Requisiti di connettività esterna.
Rinnovo della registrazione del servizio cloud.	La registrazione ai servizi cloud è stata interrotta. Il rinnovo della registrazione è in corso.
Registrazione del servizio cloud interrotta.	Registrazione ai servizi cloud terminata. Il servizio verrà interrotto.
Servizio non ancora attivato.	Attiva HDS nel Partner Hub.
Il dominio configurato non corrisponde al certificato del server.	Assicurati che il certificato del server corrisponda al dominio di attivazione del servizio configurato. La causa più probabile è che il CN del certificato è stato modificato di recente e ora è diverso dal CN utilizzato durante la configurazione iniziale.
Impossibile autenticarsi ai servizi cloud.	Controllare l'accuratezza e l'eventuale scadenza delle credenziali dell'account di servizio.
Impossibile aprire il file dell'archivio chiavi locale.	Verificare l'integrità e l'accuratezza della password nel file di archivio chiavi locale.
Il certificato del server locale non è valido.	Controllare la data di scadenza del certificato del server e confermare che sia stato emesso da un'autorità di certificazione attendibile.
Impossibile pubblicare le metriche.	Controllare l'accesso alla rete locale per i servizi cloud esterni.
/media/configdrive/hds la directory non esiste.	Controllare la configurazione del montaggio ISO sull'host virtuale. Verificare che il file ISO esista, che sia configurato per il montaggio al riavvio e che il montaggio venga eseguito correttamente.
La configurazione dell'organizzazione tenant non è stata completata per le organizzazioni aggiunte	Completa la configurazione creando CMK per le organizzazioni tenant appena aggiunte utilizzando lo strumento di configurazione HDS.
La configurazione dell'organizzazione tenant non è stata completata per le organizzazioni rimosse	Completa la configurazione revocando le CMK delle organizzazioni tenant rimosse tramite HDS Setup Tool.

Risoluzione dei problemi di sicurezza dei dati ibridi

Per la risoluzione dei problemi relativi alla sicurezza dei dati ibridi, attenersi alle seguenti linee guida generali.

1	Controlla Partner Hub per eventuali avvisi e correggi gli elementi che trovi. Vedere l'immagine sottostante come riferimento.
2	Esaminare l'output del server syslog per l'attività derivante dalla distribuzione di Hybrid Data Security. Filtra parole come "Avviso" ed "Errore" per facilitare la risoluzione dei problemi.
3	Contatta Supporto Cisco.

Altre note

Problemi noti per la sicurezza dei dati ibridi

Se si arresta il cluster Hybrid Data Security (eliminandolo in Partner Hub o arrestando tutti i nodi), si perde il file ISO di configurazione o si perde l'accesso al database dell'archivio chiavi, gli utenti dell'app Webex delle organizzazioni dei clienti non potranno più utilizzare gli spazi nel proprio elenco di persone creati con le chiavi del KMS. Al momento non disponiamo di una soluzione alternativa o di una correzione per questo problema e ti invitiamo a non chiudere i servizi HDS quando gestiscono account utente attivi.
Un client che ha una connessione ECDH esistente a un KMS mantiene tale connessione per un certo periodo di tempo (probabilmente un'ora).

Esegui lo strumento di installazione HDS utilizzando Podman Desktop

Podman è uno strumento di gestione dei container gratuito e open source che consente di eseguire, gestire e creare container. Podman Desktop può essere scaricato da https://podman-desktop.io/downloads.

Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, scarica ed esegui Podman sul computer in questione. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.

Se lo strumento di configurazione HDS viene eseguito dietro un proxy nel tuo ambiente, fornisci le impostazioni del proxy (server, porta, credenziali) tramite le variabili di ambiente Docker quando avvii il contenitore Docker nel passaggio 5. Questa tabella fornisce alcune possibili variabili di ambiente:

Descrizione	Variabile
Proxy HTTP senza autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS senza autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP con autenticazione	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS con autenticazione	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Il file ISO di configurazione generato contiene la chiave master per la crittografia del database PostgreSQL o Microsoft SQL Server. Ogni volta che apporti modifiche alla configurazione, come queste, ti servirà la copia più recente di questo file:
- Credenziali del database
- Aggiornamenti dei certificati
- Modifiche alla politica di autorizzazione
Se si prevede di crittografare le connessioni al database, configurare la distribuzione di PostgreSQL o SQL Server per TLS.

Il processo di installazione di Hybrid Data Security crea un file ISO. È quindi possibile utilizzare l'ISO per configurare l'host Hybrid Data Security.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Operazioni successive

Seguire i passaggi rimanenti in Creare una configurazione ISO per gli host HDS o Modificare la configurazione del nodo per creare o modificare la configurazione ISO.

Spostare l'attuale distribuzione HDS a tenant singolo di un'organizzazione partner in Control Hub in una configurazione HDS multi-tenant in Partner Hub

La conversione da una distribuzione HDS single-tenant esistente di un'organizzazione partner gestita in Control Hub a una distribuzione HDS multi-tenant gestita in Partner Hub comporta principalmente la disattivazione del servizio HDS in Control Hub, l'annullamento della registrazione dei nodi e l'eliminazione del cluster. Puoi quindi accedere a Partner Hub, registrare i nodi, attivare Multi-Tenant HDS e aggiungere clienti al tuo cluster.

Il termine "single-tenant" si riferisce semplicemente a una distribuzione HDS esistente in Control Hub.

Disattivare HDS, annullare la registrazione dei nodi ed eliminare il cluster in Control Hub

1	Accedi a Control Hub. Nel riquadro sinistro, fare clic su Ibrido. Nella scheda Hybrid Data Security, fare clic su Modifica impostazioni.
2	Nella pagina delle impostazioni, scorri verso il basso fino alla sezione Disattiva e fai clic su Disattiva.
3	Dopo la disattivazione, fare clic sulla scheda Risorse.
4	La pagina Risorse elenca i cluster nella distribuzione HDS. Cliccando su un cluster si aprirà una pagina con tutti i nodi presenti in quel cluster.
5	Fare clic su ... a destra e fare clic su Annulla registrazione nodo. Ripetere il procedimento per tutti i nodi del cluster.
6	Se la distribuzione ha più cluster, ripetere i passaggi 4 e 5 finché tutti i nodi non saranno stati annullati.
7	Fare clic su Impostazioni cluster > Rimuovi.
8	Fare clic su Conferma rimozione per annullare la registrazione del cluster.
9	Ripetere la procedura per tutti i cluster nella distribuzione HDS. Dopo la disattivazione dell'HDS, la cancellazione dei nodi e la rimozione dei cluster, nella parte inferiore della scheda Hybrid Data Service su Control Hub verrà visualizzato Configurazione non completata.

Attiva Multi-Tenant HDS per l'organizzazione partner su Partner Hub e aggiungi i clienti

Operazioni preliminari

Tutti i prerequisiti menzionati in Requisiti per la sicurezza dei dati ibridi multi-tenant sono applicabili qui. Inoltre, assicurarsi che durante il passaggio a Multi-Tenant HDS vengano utilizzati lo stesso database e gli stessi certificati.

1	Accedi al Partner Hub. Fare clic su Servizi nel riquadro a sinistra. Per configurare i nodi, utilizza lo stesso ISO della tua precedente distribuzione HDS. Ciò garantirà che i messaggi e i contenuti generati dagli utenti nella precedente distribuzione HDS siano ancora accessibili nella nuova configurazione Multi-Tenant.
2	Nella sezione Servizi cloud, trova la scheda Hybrid Data Security e fai clic su Configura.
3	Nella pagina che si apre, clicca su Aggiungi una risorsa.
4	Nel primo campo della scheda Aggiungi un nodo, immetti un nome per il cluster a cui desideri assegnare il nodo Hybrid Data Security. Ti consigliamo di assegnare un nome al cluster in base alla posizione geografica dei suoi nodi. Esempi: "San Francisco" o "New York" o "Dallas"
5	Nel secondo campo, immetti l'indirizzo IP interno o il nome di dominio completo (FQDN) del tuo nodo e fai clic su Aggiungi nella parte inferiore della schermata. Questo indirizzo IP o FQDN deve corrispondere all'indirizzo IP o al nome host e al dominio utilizzati in Configurazione della VM Hybrid Data Security. Viene visualizzato un messaggio che indica che è possibile registrare il nodo su Webex.
6	Fare clic su Vai al nodo. Dopo qualche istante, verrai reindirizzato ai test di connettività del nodo per i servizi Webex. Se tutti i test hanno esito positivo, viene visualizzata la pagina Consenti l'accesso al nodo di sicurezza dei dati ibridi. Qui puoi confermare di voler concedere le autorizzazioni alla tua organizzazione Webex per accedere al tuo nodo.
7	Seleziona la casella di controllo Consenti l'accesso al tuo nodo di sicurezza dati ibrido, quindi fai clic su Continua. Il tuo account è convalidato e il messaggio "Registrazione completata" indica che il tuo nodo è ora registrato sul cloud Webex. Nella pagina Hybrid Data Security, il nuovo cluster contenente il nodo registrato viene visualizzato nella scheda Risorse. Il nodo scaricherà automaticamente il software più recente dal cloud.
8	Vai alla scheda Impostazioni e fai clic su Attiva nella scheda Stato HDS. Il messaggio HDS attivato apparirà nella parte inferiore dello schermo.
9	In Risorse, fare clic sul cluster appena creato.
10	Nella pagina che si apre, fare clic sulla scheda Clienti assegnati.
11	Fare clic su Aggiungi clienti.
12	Seleziona dal menu a discesa il cliente che desideri aggiungere.
13	Fare clic su Aggiungi, il cliente verrà aggiunto al cluster.
14	Ripetere i passaggi da 11 a 13 per aggiungere più clienti al cluster.
15	Dopo aver aggiunto i clienti, fare clic su Fine nella parte inferiore dello schermo.

Operazioni successive

Eseguire lo strumento di installazione HDS come descritto in Creare le chiavi principali del cliente (CMK) utilizzando lo strumento di installazione HDS per completare il processo di installazione.

Utilizzare OpenSSL per generare un file PKCS12

Operazioni preliminari

OpenSSL è uno strumento che può essere utilizzato per creare il file PKCS12 nel formato corretto per il caricamento in HDS Setup Tool. Esistono altri modi per farlo e noi non sosteniamo né promuoviamo un metodo rispetto all'altro.
Se scegli di utilizzare OpenSSL, forniamo questa procedura come linea guida per aiutarti a creare un file che soddisfi i requisiti del certificato X.509 in Requisiti del certificato X.509. Prima di continuare, è necessario comprendere tali requisiti.
Installa OpenSSL in un ambiente supportato. Per il software e la documentazione, vedere https://www.openssl.org.
Crea una chiave privata.
Avviare questa procedura quando si riceve il certificato del server dalla propria autorità di certificazione (CA).

1	Quando ricevi il certificato del server dalla tua CA, salvalo come `hdsnode.pem`.
2	Visualizza il certificato come testo e verifica i dettagli. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizzare un editor di testo per creare un file bundle di certificati denominato `hdsnode-bundle.pem`. Il file bundle deve includere il certificato del server, eventuali certificati CA intermedi e i certificati CA radice, nel formato seguente: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Creare il file . p12 con il nome descrittivo `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Controllare i dettagli del certificato del server. `openssl pkcs12 -in hdsnode.p12` Immettere una password al prompt per crittografare la chiave privata in modo che venga elencata nell'output. Quindi, verificare che la chiave privata e il primo certificato includano le righe `friendlyName: kms-private-key`. Esempio: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Operazioni successive

Torna a Completa i prerequisiti per la sicurezza dei dati ibridi. Utilizzerai il file hdsnode.p12 e la password che hai impostato per esso in Crea un ISO di configurazione per gli host HDS.

È possibile riutilizzare questi file per richiedere un nuovo certificato quando quello originale scade.

Traffico tra i nodi HDS e il cloud

Raccolta di metriche in uscita sul traffico

I nodi Hybrid Data Security inviano determinate metriche al cloud Webex. Tra questi rientrano metriche di sistema per heap massimo, heap utilizzato, carico della CPU e conteggio dei thread; metriche su thread sincroni e asincroni; metriche su avvisi che coinvolgono una soglia di connessioni di crittografia, latenza o una lunghezza della coda di richieste; metriche sul datastore; e metriche di connessione di crittografia. I nodi inviano materiale chiave crittografato tramite un canale fuori banda (separato dalla richiesta).

Traffico in entrata

I nodi Hybrid Data Security ricevono i seguenti tipi di traffico in entrata dal cloud Webex:

Richieste di crittografia dai client, che vengono instradate dal servizio di crittografia
Aggiornamenti al software del nodo

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

I proxy Squid che ispezionano il traffico HTTPS possono interferire con la creazione di connessioni websocket (wss:) richieste da Hybrid Data Security. Queste sezioni forniscono indicazioni su come configurare varie versioni di Squid per ignorare il traffico wss: per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la direttiva on_unsupported_protocol a squid.conf:

on_unsupported_protocol tunnel all

3.5.27 di calamari

Abbiamo testato con successo la sicurezza dei dati ibridi aggiungendo le seguenti regole a squid.conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Grazie per il feedback.

Guida alla distribuzione per la sicurezza dei dati ibrida multi-tenant (HDS) (Beta)

Informazioni nuove e modificate

Informazioni nuove e modificate

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Ruoli nella sicurezza dei dati ibridi multi-tenant

Architettura dell'area di autenticazione di sicurezza

Collaborazione con altre organizzazioni

Aspettative per la distribuzione della sicurezza dei dati ibridi

Processo di impostazione di alto livello

Modello di distribuzione della sicurezza dei dati ibridi

Centro dati di standby per il ripristino di emergenza

Supporto proxy

Esempio di nodi e proxy di sicurezza dei dati ibridi

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Prepara il tuo ambiente

Requisiti per la sicurezza dei dati ibridi multi-tenant

Requisiti licenza Cisco Webex

Requisiti Docker Desktop

Requisiti del certificato X.509

Requisiti dell'host virtuale

Requisiti del server di database

Requisiti aggiuntivi per l'autenticazione Windows per Microsoft SQL Server

Requisiti di connettività esterna

Requisiti del server proxy

Completare i prerequisiti per la sicurezza dei dati ibridi

Impostare un cluster di sicurezza dei dati ibridi

Flusso delle attività di distribuzione della sicurezza dei dati ibridi

Eseguire l'impostazione iniziale e scaricare i file di installazione

Creazione di un ISO di configurazione per gli host HDS

Installazione del file OVA dell'host HDS

Impostare la VM di sicurezza dei dati ibridi

Caricamento e montaggio dell'ISO di configurazione HDS

Configurazione del nodo HDS per l'integrazione proxy

Registra il primo nodo nel cluster

Crea e registra altri nodi

Gestisci organizzazioni tenant sulla sicurezza dei dati ibridi multi-tenant

Attivazione dell'HDS multi-tenant su Partner Hub

Aggiungi organizzazioni tenant in Partner Hub

Creazione di chiavi principali cliente (CMK) utilizzando lo strumento di impostazione HDS

Rimuovi organizzazioni tenant

Revoca CMK dei tenant rimossi da HDS.

Testare la distribuzione della sicurezza dei dati ibridi

Verifica della distribuzione della sicurezza dei dati ibridi

Monitoraggio dello stato della sicurezza dei dati ibridi

Gestisci la distribuzione HDS

Gestisci distribuzione HDS

Imposta pianificazione aggiornamento cluster

Modifica della configurazione del nodo

Disattiva modalità di risoluzione DNS esterna bloccata

Rimuovi un nodo

Ripristino di emergenza tramite centro dati Standby

(Opzionale) Smontaggio di ISO dopo la configurazione HDS

Risoluzione dei problemi di sicurezza dei dati ibridi

Visualizzazione di avvisi e risoluzione dei problemi

Avvisi

Risoluzione dei problemi di sicurezza dei dati ibridi

Altre note

Problemi noti per la sicurezza dei dati ibridi

Utilizzare OpenSSL per generare un file PKCS12

Traffico tra i nodi HDS e il cloud

Traffico raccolta metriche in uscita

Traffico in entrata

Configurazione dei proxy Squid per la sicurezza dei dati ibridi

WebSocket non può connettersi attraverso il proxy Squid

Informazioni nuove e modificate

Informazioni nuove e modificate

Disattiva sicurezza dati ibridi multi-tenant

Flusso attività di disattivazione HDS multi-tenant

Introduzione alla sicurezza dei dati ibridi multi-tenant

Panoramica sulla sicurezza dei dati ibridi multi-tenant

Come la sicurezza dei dati ibridi multi-tenant fornisce sovranità e controllo dei dati

Ruoli nella sicurezza dei dati ibridi multi-tenant

Architettura dell'area di autenticazione di sicurezza

Collaborazione con altre organizzazioni

Aspettative per la distribuzione della sicurezza dei dati ibridi