Guia de implantação para a segurança de dados híbridos Webex

08 de outubro de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP.

14 de agosto de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão.

05 de agosto de 2020

Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log.

Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores.

16 de junho de 2020

Atualizado Remova um nó para alterações na interface de usuário do Control Hub.

04 de junho de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir.

29 de maio de 2020

Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos.

05 de maio de 2020

Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5.

21 de abril de 2020

Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas.

1º de abril de 2020

Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais.

20 de fevereiro de 2020 Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS.

04 de fevereiro de 2020 Requisitos do servidor proxy atualizados.

16 de dezembro de 2019 Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy .

19 de novembro de 2019

Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções:

Suporte de proxy
Configurar o nó HDS para integração de proxy
Desativar modo de resolução DNS externo bloqueado

8 de novembro de 2019

Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois.

Seções seguintes atualizadas em conformidade:

Fluxo de tarefas de implantação de segurança de dados híbridos
Instalar o OVA do organizador HDS
Configurar a VM de segurança de dados híbridos

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

06 de setembro de 2019

SQL Server Standard adicionado aos requisitos do servidor de banco de dados .

29 de agosto de 2019 Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada.

20 de agosto de 2019

Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex.

Suporte de proxy
Requisitos do servidor proxy
Configurar o nó HDS para integração de proxy

Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex .

13 de junho de 2019 Teste atualizado para o fluxo de tarefas de produção com um lembrete para sincronizar o HdsTrialGroup objeto de grupo antes de iniciar um teste se sua organização usar a sincronização de diretórios.

6 de março de 2019

Requisitos modificados e pré-requisitos em um capítulo separado, Prepare seu ambiente .
Adicionada a visão geral do Fluxo de tarefa de implantação de segurança de dados híbridos no capítulo Configurar um grupo de segurança de dados híbridos .

Observe que até você iniciar um teste (usando as instruções no capítulo subsequente), seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
Adicionado o Teste para o fluxo de tarefa de produção no capítulo Execute um teste e mova para a produção .

28 de fevereiro de 2019

Corrigida a quantidade de espaço no disco rígido local por servidor que você deve reservar ao preparar os organizadores virtuais que se tornam os nós de Segurança de Dados Híbridos, de 50 GB a 20 GB, para refletir o tamanho do disco que o OVA cria.

26 de fevereiro de 2019

Os nós de Segurança de dados híbridos agora suportam conexões criptografadas com servidores de banco de dados PostgreSQL e conexões de registro criptografado com um servidor syslog compatível com TLS. Atualizado Crie uma ISO de configuração para os hosts HDS com instruções.
URLs de destino removidas da tabela "Requisitos de conectividade da Internet para VMs de nó de segurança de dados híbridos". A tabela agora refere-se à lista mantida na tabela "URLs adicionais para serviços híbridos do Webex Teams" de Requisitos de rede para serviços do Webex Teams .

24 de janeiro de 2019

A segurança de dados híbridos agora suporta o Microsoft SQL Server como um banco de dados. O SQL Server Always On (Sempre em grupos de failover e sempre em grupos de disponibilidade) é suportado pelos drivers JDBC que são usados na Segurança de dados híbridos. Adicionado conteúdo relacionado à implantação com o SQL Server.

O suporte do Microsoft SQL Server destina-se apenas a novas implantações de Segurança de dados híbridos. No momento, não oferecemos suporte à migração de dados do PostgreSQL para o Microsoft SQL Server em uma implantação existente.

5 de novembro de 2018

Adicionada uma etapa preliminar para limpar quaisquer instâncias existentes do docker hds em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .
Atualizada a etapa de nível de acesso principal em Criar uma ISO de configuração para os hosts HDS para corresponder à interface.

19 de outubro de 2018

Divida as informações de conexão do firewall nos requisitos do nó e nos requisitos da máquina de configuração ISO em Conclua os Pré-requisitos para a Segurança de dados híbridos .

31 de julho de 2018

Adicionada porta 22 (acesso SSH) e informações sobre conexões NAT e firewall para Conclua os pré-requisitos para a segurança de dados híbridos .

21 de maio de 2018

Terminologia alterada para refletir a reformulação de marca do Cisco Spark:

A segurança de dados híbridos Cisco Spark agora é a segurança de dados híbridos.
O aplicativo Cisco Spark agora é o aplicativo do aplicativo Webex.
A nuvem do Cisco Collaboraton agora é a nuvem Webex.

11 de abril de 2018

Adicionado Centro de dados de espera para recuperação de desastres .
Atualizado Conclua os pré-requisitos para a segurança de dados híbridos para especificar que o ambiente de backup deve estar em um centro de dados diferente.
Atualizado Recuperação de desastres usando o centro de dados de espera .

22 de fevereiro de 2018

Informações adicionadas sobre a senha da conta de serviço Duração de 9 meses e o uso da ferramenta Configuração do HDS para redefinir as senhas da conta de serviço, em Criar uma ISO de configuração para os organizadores HDS e Alterar a configuração do nó .

15 de fevereiro de 2018

Na tabela X.509 Requisitos de Certificado , especificado que o certificado não pode ser um certificado curinga e que o KMS usa o domínio CN, não qualquer domínio definido nos campos SAN x.509v3.

18 de janeiro de 2018

Anexo adicionado, Tráfego entre os nós HDS e a nuvem .
Removido um problema resolvido de Problemas conhecidos de segurança de dados híbridos .
index.docker.io alterado para *.docker.io e adicionado *.cloudfront.net à lista de requisitos de conectividade TCP para os nós HDS em Conclua os pré-requisitos de segurança de dados híbridos .
Atualizado Crie uma ISO de configuração para os hosts HDS para indicar que, se o host do banco de dados e o servidor Syslogd não forem solucionáveis por DNS dos nós HDS, você deverá configurá-los usando endereços IP.

2 de novembro de 2017

Sincronização de diretório esclarecida do HdsTrialGroup.
Instruções fixas para carregar o arquivo de configuração ISO para a montagem nos nós VM.

18 de agosto de 2017

Primeira publicação

Introdução à segurança de dados híbridos

Visão geral da segurança de dados híbridos

Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes de aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos transfere o KMS e outras funções relacionadas à segurança para o centro de dados corporativos , para que ninguém além de você tenha as chaves do seu conteúdo criptografado.

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.

***Reinos da separação (sem segurança de dados híbridos)***

Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.

Colaboração com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.

O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:

Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.

Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Oferecemos suporte a apenas um único grupo por organização.

Modo de teste de segurança de dados híbridos

Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.

Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.

Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.

Data center de espera para recuperação de desastres

Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***Failover manual para centro de dados de espera***

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Configuração do centro de dados de espera para recuperação de desastres

Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:

Antes de você começar

O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas.

Depois de configurar o servidor Syslogd, clique em Configurações avançadas

Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.


passiveMode: 'true'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs.

O que fazer em seguida

Após a configuração passiveMode no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem o passiveMode configuração e salve-a em um local seguro. Esta cópia do arquivo ISO sem passiveMode configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.

Suporte de proxy

A Segurança de dados híbridos oferece suporte a proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à sua implantação para que possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e verificar o status geral de conectividade depois de configurar o proxy nos nós.

Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — Visualiza e controla todas as solicitações que o cliente envia.
  - HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum — nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível apenas se você selecionar HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.

Exemplo de nós e proxy de segurança de dados híbridos

Este diagrama mostra uma conexão de exemplo entre a Segurança de dados híbridos, rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita HTTPS, o mesmo certificado raiz deve ser instalado no proxy e nos nós de Segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele entrará automaticamente no modo de Resolução DNS externa bloqueada. Nesse modo, o registro do nó e outros testes de conectividade de proxy podem continuar.

Preparar seu ambiente

Requisitos de segurança de dados híbridos

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos:

Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a postagem do blog do Docker, " O Docker está atualizando e ampliando nossas assinaturas de produtos ".

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de Nome Comum (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, instalado e em execução.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado.

O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.

Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL	Microsoft SQL Server
Postgres driver JDBC 42.2.5	Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com

Requisitos do servidor proxy

Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.

Proxy transparente — Cisco Web Security Appliance (WSA).

Proxy explícito — Squid.

Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .

Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
- Nenhuma autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo.

Escolha um nome de domínio para sua implantação HDS (por exemplo, hds.company.com) e obter uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em X.509 Requisitos de Certificado .

Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual .

Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais.

Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.)
Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados:
- o nome do organizador ou endereço IP (organizador) e a porta
- o nome do banco de dados (dbname) para armazenamento de chaves
- o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves

Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.

Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).

Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.

Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA INRECUPERÁVEL desse conteúdo.

Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica.

Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .

Instale o Docker ( https://www.docker.com) em qualquer máquina local que execute um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da Web que possa acessá-lo em http://127.0.0.1:8080.

Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações.

Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .

Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Se sua organização usa sincronização de diretórios, crie um grupo no Active Directory chamado HdsTrialGroup e adicionar usuários piloto. O grupo de teste pode ter até 250 usuários. O HdsTrialGroup o objeto deve ser sincronizado com a nuvem antes que você possa iniciar um teste para sua organização. Para sincronizar um objeto de grupo, selecione-o no Conector de diretórios Configuração > Seleção de objeto menu. (Para obter instruções detalhadas, consulte o Guia de implantação do Conector de diretórios da Cisco.)

As teclas de um determinado espaço são definidas pelo criador do espaço. Ao selecionar usuários piloto, tenha em mente que, se você decidir desativar permanentemente a implantação de Segurança de dados híbridos, todos os usuários perdem o acesso ao conteúdo nos espaços que foram criados pelos usuários piloto. A perda se torna aparente assim que os aplicativos dos usuários atualizam suas cópias em cache do conteúdo.

Configurar um grupo de segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

Criar uma ISO de configuração para os organizadores HDS

Baixe o arquivo OVA em sua máquina local para uso posterior.

Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.

Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA.

Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.

Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.

Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos.

Conclua a configuração do grupo.

Executar um teste e mover para a produção (próximo capítulo)

Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

Baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configura como nós de segurança de dados híbridos). Você usa este arquivo mais tarde no processo de instalação.

Inicie sessão em https://admin.webex.com e clique em Services .

Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar .

Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização.

Você também pode baixar o OVA a qualquer momento na seção Help na página Settings . No cartão de Segurança de dados híbridos, clique em Editar configurações para abrir a página. Em seguida, clique em Baixar software de segurança de dados híbridos na Ajuda seção.

As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes da Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA.

Selecione No para indicar que você ainda não configurou o nó e clique em Next .

O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.

Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

Antes de você começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:

docker login -u hdscustomersro

No aviso de senha, digite o seguinte hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para ir até o host local, http://127.0.0.1:8080 e insira o nome de usuário do administrador do cliente no Control Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.

Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

Na página Visão geral da ferramenta de configuração, clique em Introdução .

Na página ISO Import , você tem estas opções:

Não —Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim —Se você já criou nós HDS, selecione o arquivo ISO na navegação e carregue-o.

Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar .
Se o seu certificado estiver OK, clique em Continuar .
Se o certificado tiver expirado ou você quiser substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar .

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal:

Selecione seu Tipo de banco de dados ( PostgreSQL ou Microsoft SQL Server ).

Se você escolher Microsoft SQL Server , você terá um campo de tipo de autenticação.
( Microsoft SQL Server apenas) Selecione seu Tipo de autenticação :
- Autenticação básica : Você precisa de um nome de conta local do SQL Server no campo Username .
- Autenticação do Windows : Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor de banco de dados no formulário <hostname>:<port> ou <IP-address>:<port>.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando autenticação do Windows, deverá inserir um Nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados .
Insira o Nome de usuário e Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

Selecione um modo de conexão do banco de dados TLS :

Mode

Descrição

Preferência por TLS (opção padrão)

Nós HDS não exigem TLS para se conectar ao servidor de banco de dados de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.

Requer TLS

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.

Requer TLS e verificar o assinante do certificado

Esse modo não é aplicável a bancos de dados do SQL Server.

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Requer TLS e verifique o signatário do certificado e o nome do host

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.
Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Database host e porta . Os nomes devem corresponder exatamente ou o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.)

Na página Registros do sistema, configure seu servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós do grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o registro no host syslogd 10.92.43.23 na porta UDP 514.
Se você configurar o servidor para usar a criptografia TLS, verifique O servidor syslog está configurado para criptografia SSL?.

Se você marcar essa caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação do registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher ou Newline é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Newline -- \n —Selecione esta opção para Graylog e Rsyslog TCP.
Clique em Continuar.

(Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxSize: 10

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores.

Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar.

Faça uma cópia de backup do arquivo ISO em seu sistema local.

Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração.

Para desligar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.

Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.

Selecione File > Implantar modelo OVF .

No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ...

No Selecione um nome e uma pasta página, insira uma Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual possa residir e clique em Próximo ...

No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ...

Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.

Verifique os detalhes do modelo e clique em Próximo .

Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ...

No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM.

No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.

Na página Personalizar modelo , defina as seguintes configurações de rede:

Nome do host —Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó.

Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do organizador definido para o nó. O uso de maiúsculas não é suportado no momento.
O comprimento total do FQDN não deve exceder 64 caracteres.

Endereço IP — Insira o endereço IP para a interface interna do nó.

Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
Máscara —Insira o endereço da máscara de sub-rede na notação decimal por ponto. Por exemplo, 255.255.255.0 .
Gateway —Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como um ponto de acesso para outra rede.
Servidores DNS —Insira uma lista de servidores DNS separados por vírgulas, que lidam com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.)
Servidores NTP —Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP.

Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós em um cluster sejam acessíveis a partir de clientes em sua rede para fins administrativos.

Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Clique com o botão direito do mouse no VM do nó e selecione Power > Power On .

O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó.

Dicas de solução de problemas

Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.

1	No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `cisco` Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador.
3	Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar o ISO de configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de você começar

Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Storage .
Na lista Datastores, clique com o botão direito do mouse no datastore para suas VMs e clique em Procurar Datastore .
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo .
Navegue até o local onde você baixou o arquivo ISO em seu computador e clique em Abrir .
Clique em Sim para aceitar o aviso de operação de carregamento/download e fechar a caixa de diálogo do armazenamento de dados.

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique CD/DVD Drive 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar .
Salve as alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a Segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, poderá usar a interface do nó para carregar e instalar o certificado raiz. Você também pode verificar a conexão de proxy na interface e solucionar quaisquer problemas potenciais.

Antes de você começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Trust Store e Proxy e escolha uma opção: Nenhum proxy —A opção padrão antes de integrar um proxy. Nenhuma atualização do certificado é necessária. Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária. Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração na configuração HTTPS é necessária na implantação de Segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS). Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher esta opção, você deve inserir as seguintes informações: IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção com base no que seu servidor proxy suporta. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação: Nenhum — nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo.
4	Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .
5	Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor.
6	Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos.
7	Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no grupo

Essa tarefa utiliza o nó genérico que você criou na Configurar a VM de segurança de dados híbridos , registra o nó com a nuvem Webex e o transforma em um nó de segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
4	Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo .
5	No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó .
8	Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
9	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
10	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera .

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS .
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos .
3	Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS .
4	Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Resources . A página Recursos de segurança de dados híbridos é exibida. Clique em Adicionar recurso . No primeiro campo, selecione o nome do grupo existente. No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Uma mensagem é exibida indicando que você pode registrar seu nó na nuvem Webex. Clique em Ir para o nó . Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja dar permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

O que fazer em seguida

Executar um teste e mover para a produção (próximo capítulo)

Executar um teste e mover para a produção

Teste para o fluxo de tarefas de produção

Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.

Antes de você começar

1	Se aplicável, sincronize o `HdsTrialGroup` objeto de grupo. Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o `HdsTrialGroup` objeto de grupo para sincronização com a nuvem antes de iniciar um teste. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
2	Ativar teste Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
3	Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
4	Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes.
5	Adicionar ou remover usuários do seu teste
6	Conclua a fase de teste com uma das seguintes ações: Mover do teste para a produção Encerre seu teste sem mover para a produção

Ativar teste

Antes de você começar

Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o HdsTrialGroup objeto de grupo para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.

1	Inicie sessão em https://admin.webex.com e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
4	Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, `HdsTrialGroup`.)

Teste a implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos.

Antes de você começar

Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.

As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo em espaços que os usuários piloto criam não será mais acessível depois que as cópias em cache do cliente das chaves de criptografia forem substituídas.

Envie mensagens para o novo espaço.

Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre no kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores encurtados para legibilidade):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada como:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de uma nova chave KMS, filtre no kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada como:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo KMS Resource Object (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada como:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorar a integridade da segurança de dados híbridos

Um indicador de status no Control Hub mostra se tudo está bem com a implantação da Segurança de dados híbridos. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes de impacto no serviço.

1	No Control Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter .

Adicionar ou remover usuários do seu teste

Depois de ativar um teste e adicionar o conjunto inicial de usuários de teste, você poderá adicionar ou remover membros de teste a qualquer momento enquanto o teste estiver ativo.

Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.

Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup; você pode visualizar os membros do grupo no Control Hub, mas não pode adicioná-los ou removê-los.

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste.
4	Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar .

Mover do teste para a produção

Quando você estiver satisfeito que sua implantação está funcionando bem para os usuários de teste, você pode mover para a produção. Quando você mudar para a produção, todos os usuários da organização usarão seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Você não pode voltar para o modo de teste da produção a menos que você desative o serviço como parte da recuperação de desastres. A reativação do serviço requer que você configure um novo teste.

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Mover para produção .
4	Confirme que você deseja mover todos os usuários para a produção.

Encerre seu teste sem mover para a produção

Se, durante o teste, você decidir não prosseguir com a implantação de Segurança de dados híbridos, poderá desativar a Segurança de dados híbridos, que encerrará o teste e transferirá os usuários de teste de volta para os serviços de segurança de dados em nuvem. Os usuários de teste perderão o acesso aos dados que foram criptografados durante o teste.

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Desativar, clique em Desativar .
4	Confirme se você deseja desativar o serviço e encerrar o teste.

Gerenciar sua implantação HDS

Gerenciar implantação HDS

Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualização do grupo. Quando uma atualização de software ficar disponível, você terá a opção de atualizar manualmente o grupo antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão de 3:00 Daily United States: América/Los Angeles. Você também pode optar por adiar uma próxima atualização, se necessário.

Para definir a agenda de atualização:

1	Inicie sessão no Control Hub.
2	Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos .
3	Na página Recursos de segurança de dados híbridos, selecione o grupo.
4	No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo.
5	Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do seu nó de Segurança de dados híbridos por um motivo, como:

Alterar certificados x.509 devido à expiração ou outros motivos.

Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.

Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.

Não oferecemos suporte à migração de dados do PostgreSQL para o Microsoft SQL Server, ou vice-versa. Para alternar o ambiente de banco de dados, inicie uma nova implantação da Segurança de dados híbridos.

Criando uma nova configuração para preparar um novo data center.

Por motivos de segurança, a segurança de dados híbridos usa senhas da conta de serviço com uma duração de 9 meses. A ferramenta de Configuração do HDS gera essas senhas e você as implanta em cada um dos nós do HDS como parte do arquivo de configuração ISO. Quando as senhas da sua organização estiverem quase expirando, você receberá um "Aviso de expiração da senha" da equipe Webex solicitando que redefina a senha da conta de máquina. (O e-mail inclui o texto, "Usar a API da conta de máquina para atualizar a senha"). Se suas senhas ainda não expiraram, a ferramenta oferece duas opções:

Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.

Antes de você começar

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.

Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
```
docker login -u hdscustomersro
```
No aviso de senha, digite o seguinte hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha.

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

Use um navegador para se conectar ao host local, http://127.0.0.1:8080.

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Quando solicitado, insira as credenciais de início de sessão do cliente e clique em Aceitar para continuar.
Importe o arquivo ISO de configuração atual.
Siga os avisos para concluir a ferramenta e baixar o arquivo atualizado.

Para desligar a ferramenta de Configuração, digite CTRL+C.
Crie uma cópia de backup do arquivo atualizado em outro centro de dados.

Se você tiver apenas um nó HDS em execução, crie um novo nó VM e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós .

Instale o OVA do host HDS.
Configure a VM do HDS.
Monte o arquivo de configuração atualizado.
Registre o novo nó no Control Hub.

Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desligar o próximo nó:

Desligue a máquina virtual.
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique CD/DVD Drive 1 Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração.
Marque Conectar ao ligar.
Salve suas alterações e ligue a máquina virtual.

Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desativar modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Se o servidor DNS do nó não puder resolver nomes DNS públicos, o nó entrará automaticamente no modo de Resolução DNS externa bloqueada.

Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.

Antes de você começar

Certifique-se de que seus servidores DNS internos possam resolver nomes DNS públicos e que seus nós possam se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim .
3	Vá para a página Trust Store e Proxy .
4	Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não.

O que fazer em seguida

Repita o teste de conexão de proxy em cada nó do cluster de Segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

Remova o nó:

Inicie sessão no Control Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página Recursos de segurança de dados híbridos.
Selecione o grupo para exibir o painel de Visão geral.
Clique em Abrir lista de nós .
Na guia Nós, selecione o nó que deseja remover.
Clique Ações > Cancelar registro do nó .

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Centro de dados de espera

O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves que foi criado a qualquer usuário autorizado a recuperá-lo, por exemplo, membros de um espaço de conversa.

Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

Depois de configurar o servidor Syslogd, clique em Configurações avançadas

Na página Configurações avançadas , adicione a configuração abaixo ou remova o passiveMode configuração para tornar o nó ativo. O nó poderá lidar com o tráfego quando isso for configurado.


passiveMode: 'false'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique a saída do syslog para verificar se os nós do centro de dados em espera não estão no modo passivo. "KMS configurado no modo passivo" não deve aparecer no syslogs.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, coloque o centro de dados em espera no modo passivo novamente seguindo as etapas descritas em Configuração do centro de dados em espera para recuperação de desastres .

(Opcional) Desmontar ISO após a configuração HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.

Antes de você começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um de seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Escolher Editar configurações > unidade de CD/DVD e desmarque Arquivo ISO do armazenamento de dados .
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por sua vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros do banco de dados ou problemas de rede local.
Falha na conexão de banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa .
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento.
Registro do serviço em nuvem removido.	Registro nos serviços em nuvem encerrado. O serviço está sendo desligado.
Serviço ainda não ativado.	Ative um teste ou termine de mover o teste para a produção.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação para serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo de keystore local.	Verifique a integridade e a precisão da senha no arquivo de keystore local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível postar métricas.	Verifique o acesso à rede local para serviços externos em nuvem.
/media/configdrive/hds directory não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá.
2	Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos.
3	Entre em contato com o suporte da Cisco .

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.

O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).

Use o OpenSSL para gerar um arquivo PKCS12

Antes de você começar

OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).

1	Ao receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo em lote deve incluir o certificado do servidor, todos os certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 -in hdsnode.p12` Insira uma senha no aviso para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

O que fazer em seguida

Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o hdsnode.p12 arquivo e a senha que você definiu para ele, em Criar uma ISO de configuração para os Hosts HDS .

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).

Tráfego De Entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó

Configurar proxies de Squid para segurança de dados híbridos

O Websocket não pode se conectar através do proxy Squid

Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket ( wss:) conexões que a Segurança de dados híbridos exige. Essas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar wss: tráfego para o funcionamento adequado dos serviços.

Squid 4 e 5

Adicionar o on_unsupported_protocol diretiva para squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf. Essas regras estão sujeitas a alterações à medida que desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Prefácio

Informações novas e alteradas

Data

Alterações Feitas

20 de outubro de 2023

Informações atualizadas nos requisitos do servidor de banco de dados .
Adicionado Configurar centro de dados de espera para recuperação de desastres .
Informações atualizadas no Centro de dados de espera para recuperação de desastres e Recuperação de desastres usando o Centro de dados de espera .

07 de agosto de 2023

Adicionada uma nota em Baixar arquivos de instalação .
Adicionada uma nota em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .

23 de maio de 2023

Informações excluídas de Requisitos do servidor de banco de dados solicitando que um recurso seja ativado entrando em contato com a equipe da conta.
Informações atualizadas nos requisitos de conectividade externa e adicionadas ao Canadá à tabela de organizadores CI.
Adicionada uma nota em Expectativas para Implantar a segurança de dados híbridos em relação à indisponibilidade dos mecanismos para mover as chaves de volta para a nuvem.

06 de dezembro de 2022

As imagens da Ferramenta de configuração HDS agora estão hospedadas no ciscocitg repositório dockerhub.
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar os tópicos Configuração do nó para confirmar as alterações nos comandos.

23 de novembro de 2022

Os nós HDS agora podem usar a autenticação do Windows no Microsoft SQL Server.

Tópico Requisitos do servidor de banco de dados com requisitos adicionais para este modo de autenticação.

Atualizado Criar uma ISO de configuração para os hosts HDS com o procedimento para configurar a autenticação do Windows nos nós.
Atualizado o Requisitos do servidor de banco de dados tópico com novas versões mínimas necessárias (PostgreSQL 10).

13 de outubro de 2021

O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop .

24 de junho de 2021

Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes.

30 de abril de 2021

Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes.

24 de fevereiro de 2021

A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes.

2 de fevereiro de 2021

O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

11 de janeiro de 2021

Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS .

13 de outubro de 2020

08 de outubro de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP.

14 de agosto de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão.

05 de agosto de 2020

Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log.

Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores.

16 de junho de 2020

Atualizado Remova um nó para alterações na interface de usuário do Control Hub.

04 de junho de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir.

29 de maio de 2020

Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos.

05 de maio de 2020

Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5.

21 de abril de 2020

Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas.

1º de abril de 2020

Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais.

20 de fevereiro de 2020 Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS.

04 de fevereiro de 2020 Requisitos do servidor proxy atualizados.

16 de dezembro de 2019 Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy .

19 de novembro de 2019

Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções:

Suporte de proxy
Configurar o nó HDS para integração de proxy
Desativar modo de resolução DNS externo bloqueado

8 de novembro de 2019

Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois.

Seções seguintes atualizadas em conformidade:

Fluxo de tarefas de implantação de segurança de dados híbridos
Instalar o OVA do organizador HDS
Configurar a VM de segurança de dados híbridos

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

06 de setembro de 2019

SQL Server Standard adicionado aos requisitos do servidor de banco de dados .

20 de agosto de 2019

Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex.

Suporte de proxy
Requisitos do servidor proxy
Configurar o nó HDS para integração de proxy

Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex .

6 de março de 2019

Requisitos modificados e pré-requisitos em um capítulo separado, Prepare seu ambiente .
Adicionada a visão geral do Fluxo de tarefa de implantação de segurança de dados híbridos no capítulo Configurar um grupo de segurança de dados híbridos .

Observe que até você iniciar um teste (usando as instruções no capítulo subsequente), seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
Adicionado o Teste para o fluxo de tarefa de produção no capítulo Execute um teste e mova para a produção .

28 de fevereiro de 2019

Corrigida a quantidade de espaço no disco rígido local por servidor que você deve reservar ao preparar os organizadores virtuais que se tornam os nós de Segurança de Dados Híbridos, de 50 GB a 20 GB, para refletir o tamanho do disco que o OVA cria.

26 de fevereiro de 2019

Os nós de Segurança de dados híbridos agora suportam conexões criptografadas com servidores de banco de dados PostgreSQL e conexões de registro criptografado com um servidor syslog compatível com TLS. Atualizado Crie uma ISO de configuração para os hosts HDS com instruções.
URLs de destino removidas da tabela "Requisitos de conectividade da Internet para VMs de nó de segurança de dados híbridos". A tabela agora refere-se à lista mantida na tabela "URLs adicionais para serviços híbridos do Webex Teams" de Requisitos de rede para serviços do Webex Teams .

24 de janeiro de 2019

5 de novembro de 2018

Adicionada uma etapa preliminar para limpar quaisquer instâncias existentes do docker hds em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .
Atualizada a etapa de nível de acesso principal em Criar uma ISO de configuração para os hosts HDS para corresponder à interface.

19 de outubro de 2018

Divida as informações de conexão do firewall nos requisitos do nó e nos requisitos da máquina de configuração ISO em Conclua os Pré-requisitos para a Segurança de dados híbridos .

31 de julho de 2018

Adicionada porta 22 (acesso SSH) e informações sobre conexões NAT e firewall para Conclua os pré-requisitos para a segurança de dados híbridos .

21 de maio de 2018

Terminologia alterada para refletir a reformulação de marca do Cisco Spark:

A segurança de dados híbridos Cisco Spark agora é a segurança de dados híbridos.
O aplicativo Cisco Spark agora é o aplicativo do aplicativo Webex.
A nuvem do Cisco Collaboraton agora é a nuvem Webex.

11 de abril de 2018

Adicionado Centro de dados de espera para recuperação de desastres .
Atualizado Conclua os pré-requisitos para a segurança de dados híbridos para especificar que o ambiente de backup deve estar em um centro de dados diferente.
Atualizado Recuperação de desastres usando o centro de dados de espera .

22 de fevereiro de 2018

Informações adicionadas sobre a senha da conta de serviço Duração de 9 meses e o uso da ferramenta Configuração do HDS para redefinir as senhas da conta de serviço, em Criar uma ISO de configuração para os organizadores HDS e Alterar a configuração do nó .

15 de fevereiro de 2018

Na tabela X.509 Requisitos de Certificado , especificado que o certificado não pode ser um certificado curinga e que o KMS usa o domínio CN, não qualquer domínio definido nos campos SAN x.509v3.

18 de janeiro de 2018

Anexo adicionado, Tráfego entre os nós HDS e a nuvem .
Removido um problema resolvido de Problemas conhecidos de segurança de dados híbridos .
index.docker.io alterado para *.docker.io e adicionado *.cloudfront.net à lista de requisitos de conectividade TCP para os nós HDS em Conclua os pré-requisitos de segurança de dados híbridos .
Atualizado Crie uma ISO de configuração para os hosts HDS para indicar que, se o host do banco de dados e o servidor Syslogd não forem solucionáveis por DNS dos nós HDS, você deverá configurá-los usando endereços IP.

2 de novembro de 2017

Sincronização de diretório esclarecida do HdsTrialGroup.
Instruções fixas para carregar o arquivo de configuração ISO para a montagem nos nós VM.

18 de agosto de 2017

Primeira publicação

Introdução à segurança de dados híbridos

Visão geral da segurança de dados híbridos

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Colaboração com outras organizações

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:

Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Modelo de implantação de segurança de dados híbridos

Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Oferecemos suporte a apenas um único grupo por organização.

Modo de teste de segurança de dados híbridos

Data center de espera para recuperação de desastres

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Configuração do centro de dados de espera para recuperação de desastres

Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:

Antes de você começar

O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas.

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'true'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs.

O que fazer em seguida

Suporte de proxy

Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — Visualiza e controla todas as solicitações que o cliente envia.
  - HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum — nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível apenas se você selecionar HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.

Exemplo de nós e proxy de segurança de dados híbridos

Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)

Preparar seu ambiente

Requisitos de segurança de dados híbridos

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos:

Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de Nome Comum (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, instalado e em execução.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado.

O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com

Requisitos do servidor proxy

Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.

Proxy transparente — Cisco Web Security Appliance (WSA).

Proxy explícito — Squid.

Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
- Nenhuma autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.)
Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados:
- o nome do organizador ou endereço IP (organizador) e a porta
- o nome do banco de dados (dbname) para armazenamento de chaves
- o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves

Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).

Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .

Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .

Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Configurar um grupo de segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

Criar uma ISO de configuração para os organizadores HDS

Baixe o arquivo OVA em sua máquina local para uso posterior.

Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.

Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA.

Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.

Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.

Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos.

Conclua a configuração do grupo.

Executar um teste e mover para a produção (próximo capítulo)

Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

Baixar arquivos de instalação

Inicie sessão em https://admin.webex.com e clique em Services .

Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar .

Selecione No para indicar que você ainda não configurou o nó e clique em Next .

O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.

Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

Antes de você começar

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:

docker login -u hdscustomersro

No aviso de senha, digite o seguinte hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para ir até o host local, http://127.0.0.1:8080 e insira o nome de usuário do administrador do cliente no Control Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.

Na página Visão geral da ferramenta de configuração, clique em Introdução .

Na página ISO Import , você tem estas opções:

Não —Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim —Se você já criou nós HDS, selecione o arquivo ISO na navegação e carregue-o.

Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar .
Se o seu certificado estiver OK, clique em Continuar .
Se o certificado tiver expirado ou você quiser substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar .

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal:

Selecione seu Tipo de banco de dados ( PostgreSQL ou Microsoft SQL Server ).

Se você escolher Microsoft SQL Server , você terá um campo de tipo de autenticação.
( Microsoft SQL Server apenas) Selecione seu Tipo de autenticação :
- Autenticação básica : Você precisa de um nome de conta local do SQL Server no campo Username .
- Autenticação do Windows : Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor de banco de dados no formulário <hostname>:<port> ou <IP-address>:<port>.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando autenticação do Windows, deverá inserir um Nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados .
Insira o Nome de usuário e Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

Selecione um modo de conexão do banco de dados TLS :

Mode

Descrição

Preferência por TLS (opção padrão)

Nós HDS não exigem TLS para se conectar ao servidor de banco de dados de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.

Requer TLS

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.

Requer TLS e verificar o assinante do certificado

Esse modo não é aplicável a bancos de dados do SQL Server.

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Requer TLS e verifique o signatário do certificado e o nome do host

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.
Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Database host e porta . Os nomes devem corresponder exatamente ou o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Na página Registros do sistema, configure seu servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós do grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o registro no host syslogd 10.92.43.23 na porta UDP 514.
Se você configurar o servidor para usar a criptografia TLS, verifique O servidor syslog está configurado para criptografia SSL?.

Se você marcar essa caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação do registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher ou Newline é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Newline -- \n —Selecione esta opção para Graylog e Rsyslog TCP.
Clique em Continuar.

app_datasource_connection_pool_maxSize: 10

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores.

Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar.

Faça uma cópia de backup do arquivo ISO em seu sistema local.

Para desligar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.

Selecione File > Implantar modelo OVF .

No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ...

No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ...

Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.

Verifique os detalhes do modelo e clique em Próximo .

Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ...

No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM.

No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.

Na página Personalizar modelo , defina as seguintes configurações de rede:

Nome do host —Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó.

Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do organizador definido para o nó. O uso de maiúsculas não é suportado no momento.
O comprimento total do FQDN não deve exceder 64 caracteres.

Endereço IP — Insira o endereço IP para a interface interna do nó.

Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
Máscara —Insira o endereço da máscara de sub-rede na notação decimal por ponto. Por exemplo, 255.255.255.0 .
Gateway —Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como um ponto de acesso para outra rede.
Servidores DNS —Insira uma lista de servidores DNS separados por vírgulas, que lidam com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.)
Servidores NTP —Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP.

Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós em um cluster sejam acessíveis a partir de clientes em sua rede para fins administrativos.

Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Clique com o botão direito do mouse no VM do nó e selecione Power > Power On .

O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó.

Dicas de solução de problemas

Configurar a VM de segurança de dados híbridos

1	No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `cisco` Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador.
3	Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar o ISO de configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de você começar

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Storage .
Na lista Datastores, clique com o botão direito do mouse no datastore para suas VMs e clique em Procurar Datastore .
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo .
Navegue até o local onde você baixou o arquivo ISO em seu computador e clique em Abrir .
Clique em Sim para aceitar o aviso de operação de carregamento/download e fechar a caixa de diálogo do armazenamento de dados.

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique CD/DVD Drive 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar .
Salve as alterações e reinicie a máquina virtual.

O que fazer em seguida

Configurar o nó HDS para integração de proxy

Antes de você começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Trust Store e Proxy e escolha uma opção: Nenhum proxy —A opção padrão antes de integrar um proxy. Nenhuma atualização do certificado é necessária. Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária. Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração na configuração HTTPS é necessária na implantação de Segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS). Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher esta opção, você deve inserir as seguintes informações: IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção com base no que seu servidor proxy suporta. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação: Nenhum — nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo.
4	Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .
5	Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor.
6	Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos.
7	Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no grupo

Essa tarefa utiliza o nó genérico que você criou na Configurar a VM de segurança de dados híbridos , registra o nó com a nuvem Webex e o transforma em um nó de segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
4	Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo .
5	No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó .
8	Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
9	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
10	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS .
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos .
3	Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS .
4	Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Resources . A página Recursos de segurança de dados híbridos é exibida. Clique em Adicionar recurso . No primeiro campo, selecione o nome do grupo existente. No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Uma mensagem é exibida indicando que você pode registrar seu nó na nuvem Webex. Clique em Ir para o nó . Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja dar permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

O que fazer em seguida

Executar um teste e mover para a produção (próximo capítulo)

Executar um teste e mover para a produção

Teste para o fluxo de tarefas de produção

Antes de você começar

1	Se aplicável, sincronize o `HdsTrialGroup` objeto de grupo. Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o `HdsTrialGroup` objeto de grupo para sincronização com a nuvem antes de iniciar um teste. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
2	Ativar teste Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
3	Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
4	Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes.
5	Adicionar ou remover usuários do seu teste
6	Conclua a fase de teste com uma das seguintes ações: Mover do teste para a produção Encerre seu teste sem mover para a produção

Ativar teste

Antes de você começar

1	Inicie sessão em https://admin.webex.com e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
4	Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, `HdsTrialGroup`.)

Teste a implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos.

Antes de você começar

Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.

Envie mensagens para o novo espaço.

Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre no kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores encurtados para legibilidade):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada como:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de uma nova chave KMS, filtre no kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada como:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Você deve encontrar uma entrada como:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorar a integridade da segurança de dados híbridos

1	No Control Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter .

Adicionar ou remover usuários do seu teste

Depois de ativar um teste e adicionar o conjunto inicial de usuários de teste, você poderá adicionar ou remover membros de teste a qualquer momento enquanto o teste estiver ativo.

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste.
4	Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar .

Mover do teste para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Mover para produção .
4	Confirme que você deseja mover todos os usuários para a produção.

Encerre seu teste sem mover para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Desativar, clique em Desativar .
4	Confirme se você deseja desativar o serviço e encerrar o teste.

Gerenciar sua implantação HDS

Gerenciar implantação HDS

Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.

Definir agenda de atualização do grupo

Para definir a agenda de atualização:

1	Inicie sessão no Control Hub.
2	Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos .
3	Na página Recursos de segurança de dados híbridos, selecione o grupo.
4	No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo.
5	Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do seu nó de Segurança de dados híbridos por um motivo, como:

Alterar certificados x.509 devido à expiração ou outros motivos.

Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.

Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.

Criando uma nova configuração para preparar um novo data center.

Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.

Antes de você começar

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.

Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
```
docker login -u hdscustomersro
```
No aviso de senha, digite o seguinte hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

Use um navegador para se conectar ao host local, http://127.0.0.1:8080.

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Quando solicitado, insira as credenciais de início de sessão do cliente e clique em Aceitar para continuar.
Importe o arquivo ISO de configuração atual.
Siga os avisos para concluir a ferramenta e baixar o arquivo atualizado.

Para desligar a ferramenta de Configuração, digite CTRL+C.
Crie uma cópia de backup do arquivo atualizado em outro centro de dados.

Instale o OVA do host HDS.
Configure a VM do HDS.
Monte o arquivo de configuração atualizado.
Registre o novo nó no Control Hub.

Desligue a máquina virtual.
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique CD/DVD Drive 1 Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração.
Marque Conectar ao ligar.
Salve suas alterações e ligue a máquina virtual.

Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desativar modo de resolução DNS externo bloqueado

Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.

Antes de você começar

Certifique-se de que seus servidores DNS internos possam resolver nomes DNS públicos e que seus nós possam se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim .
3	Vá para a página Trust Store e Proxy .
4	Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não.

O que fazer em seguida

Repita o teste de conexão de proxy em cada nó do cluster de Segurança de dados híbridos.

Remover um nó

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

Remova o nó:

Inicie sessão no Control Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página Recursos de segurança de dados híbridos.
Selecione o grupo para exibir o painel de Visão geral.
Clique em Abrir lista de nós .
Na guia Nós, selecione o nó que deseja remover.
Clique Ações > Cancelar registro do nó .

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Centro de dados de espera

Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'false'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique a saída do syslog para verificar se os nós do centro de dados em espera não estão no modo passivo. "KMS configurado no modo passivo" não deve aparecer no syslogs.

O que fazer em seguida

(Opcional) Desmontar ISO após a configuração HDS

Antes de você começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um de seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Escolher Editar configurações > unidade de CD/DVD e desmarque Arquivo ISO do armazenamento de dados .
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por sua vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.

Alertas

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros do banco de dados ou problemas de rede local.
Falha na conexão de banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa .
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento.
Registro do serviço em nuvem removido.	Registro nos serviços em nuvem encerrado. O serviço está sendo desligado.
Serviço ainda não ativado.	Ative um teste ou termine de mover o teste para a produção.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação para serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo de keystore local.	Verifique a integridade e a precisão da senha no arquivo de keystore local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível postar métricas.	Verifique o acesso à rede local para serviços externos em nuvem.
/media/configdrive/hds directory não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá.
2	Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos.
3	Entre em contato com o suporte da Cisco .

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.

O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).

Use o OpenSSL para gerar um arquivo PKCS12

Antes de você começar

OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).

1	Ao receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo em lote deve incluir o certificado do servidor, todos os certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 -in hdsnode.p12` Insira uma senha no aviso para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

O que fazer em seguida

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Tráfego De Entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó

Configurar proxies de Squid para segurança de dados híbridos

O Websocket não pode se conectar através do proxy Squid

Squid 4 e 5

Adicionar o on_unsupported_protocol diretiva para squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Prefácio

Informações novas e alteradas

Data

Alterações Feitas

20 de outubro de 2023

Informações atualizadas nos requisitos do servidor de banco de dados .
Adicionado Configurar centro de dados de espera para recuperação de desastres .
Informações atualizadas no Centro de dados de espera para recuperação de desastres e Recuperação de desastres usando o Centro de dados de espera .

07 de agosto de 2023

Adicionada uma nota em Baixar arquivos de instalação .
Adicionada uma nota em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .

23 de maio de 2023

Informações excluídas de Requisitos do servidor de banco de dados solicitando que um recurso seja ativado entrando em contato com a equipe da conta.
Informações atualizadas nos requisitos de conectividade externa e adicionadas ao Canadá à tabela de organizadores CI.
Adicionada uma nota em Expectativas para Implantar a segurança de dados híbridos em relação à indisponibilidade dos mecanismos para mover as chaves de volta para a nuvem.

06 de dezembro de 2022

As imagens da Ferramenta de configuração HDS agora estão hospedadas no ciscocitg repositório dockerhub.
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar os tópicos Configuração do nó para confirmar as alterações nos comandos.

23 de novembro de 2022

Os nós HDS agora podem usar a autenticação do Windows no Microsoft SQL Server.

Tópico Requisitos do servidor de banco de dados com requisitos adicionais para este modo de autenticação.

Atualizado Criar uma ISO de configuração para os hosts HDS com o procedimento para configurar a autenticação do Windows nos nós.
Atualizado o Requisitos do servidor de banco de dados tópico com novas versões mínimas necessárias (PostgreSQL 10).

13 de outubro de 2021

O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop .

24 de junho de 2021

Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes.

30 de abril de 2021

Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes.

24 de fevereiro de 2021

A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes.

2 de fevereiro de 2021

O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

11 de janeiro de 2021

Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS .

13 de outubro de 2020

08 de outubro de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP.

14 de agosto de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão.

05 de agosto de 2020

Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log.

Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores.

16 de junho de 2020

Atualizado Remova um nó para alterações na interface de usuário do Control Hub.

04 de junho de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir.

29 de maio de 2020

Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos.

05 de maio de 2020

Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5.

21 de abril de 2020

Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas.

1º de abril de 2020

Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais.

20 de fevereiro de 2020 Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS.

04 de fevereiro de 2020 Requisitos do servidor proxy atualizados.

16 de dezembro de 2019 Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy .

19 de novembro de 2019

Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções:

Suporte de proxy
Configurar o nó HDS para integração de proxy
Desativar modo de resolução DNS externo bloqueado

8 de novembro de 2019

Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois.

Seções seguintes atualizadas em conformidade:

Fluxo de tarefas de implantação de segurança de dados híbridos
Instalar o OVA do organizador HDS
Configurar a VM de segurança de dados híbridos

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

06 de setembro de 2019

SQL Server Standard adicionado aos requisitos do servidor de banco de dados .

20 de agosto de 2019

Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex.

Suporte de proxy
Requisitos do servidor proxy
Configurar o nó HDS para integração de proxy

Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex .

6 de março de 2019

Requisitos modificados e pré-requisitos em um capítulo separado, Prepare seu ambiente .
Adicionada a visão geral do Fluxo de tarefa de implantação de segurança de dados híbridos no capítulo Configurar um grupo de segurança de dados híbridos .

Observe que até você iniciar um teste (usando as instruções no capítulo subsequente), seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
Adicionado o Teste para o fluxo de tarefa de produção no capítulo Execute um teste e mova para a produção .

28 de fevereiro de 2019

Corrigida a quantidade de espaço no disco rígido local por servidor que você deve reservar ao preparar os organizadores virtuais que se tornam os nós de Segurança de Dados Híbridos, de 50 GB a 20 GB, para refletir o tamanho do disco que o OVA cria.

26 de fevereiro de 2019

Os nós de Segurança de dados híbridos agora suportam conexões criptografadas com servidores de banco de dados PostgreSQL e conexões de registro criptografado com um servidor syslog compatível com TLS. Atualizado Crie uma ISO de configuração para os hosts HDS com instruções.
URLs de destino removidas da tabela "Requisitos de conectividade da Internet para VMs de nó de segurança de dados híbridos". A tabela agora refere-se à lista mantida na tabela "URLs adicionais para serviços híbridos do Webex Teams" de Requisitos de rede para serviços do Webex Teams .

24 de janeiro de 2019

5 de novembro de 2018

Adicionada uma etapa preliminar para limpar quaisquer instâncias existentes do docker hds em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .
Atualizada a etapa de nível de acesso principal em Criar uma ISO de configuração para os hosts HDS para corresponder à interface.

19 de outubro de 2018

Divida as informações de conexão do firewall nos requisitos do nó e nos requisitos da máquina de configuração ISO em Conclua os Pré-requisitos para a Segurança de dados híbridos .

31 de julho de 2018

Adicionada porta 22 (acesso SSH) e informações sobre conexões NAT e firewall para Conclua os pré-requisitos para a segurança de dados híbridos .

21 de maio de 2018

Terminologia alterada para refletir a reformulação de marca do Cisco Spark:

A segurança de dados híbridos Cisco Spark agora é a segurança de dados híbridos.
O aplicativo Cisco Spark agora é o aplicativo do aplicativo Webex.
A nuvem do Cisco Collaboraton agora é a nuvem Webex.

11 de abril de 2018

Adicionado Centro de dados de espera para recuperação de desastres .
Atualizado Conclua os pré-requisitos para a segurança de dados híbridos para especificar que o ambiente de backup deve estar em um centro de dados diferente.
Atualizado Recuperação de desastres usando o centro de dados de espera .

22 de fevereiro de 2018

Informações adicionadas sobre a senha da conta de serviço Duração de 9 meses e o uso da ferramenta Configuração do HDS para redefinir as senhas da conta de serviço, em Criar uma ISO de configuração para os organizadores HDS e Alterar a configuração do nó .

15 de fevereiro de 2018

Na tabela X.509 Requisitos de Certificado , especificado que o certificado não pode ser um certificado curinga e que o KMS usa o domínio CN, não qualquer domínio definido nos campos SAN x.509v3.

18 de janeiro de 2018

Anexo adicionado, Tráfego entre os nós HDS e a nuvem .
Removido um problema resolvido de Problemas conhecidos de segurança de dados híbridos .
index.docker.io alterado para *.docker.io e adicionado *.cloudfront.net à lista de requisitos de conectividade TCP para os nós HDS em Conclua os pré-requisitos de segurança de dados híbridos .
Atualizado Crie uma ISO de configuração para os hosts HDS para indicar que, se o host do banco de dados e o servidor Syslogd não forem solucionáveis por DNS dos nós HDS, você deverá configurá-los usando endereços IP.

2 de novembro de 2017

Sincronização de diretório esclarecida do HdsTrialGroup.
Instruções fixas para carregar o arquivo de configuração ISO para a montagem nos nós VM.

18 de agosto de 2017

Primeira publicação

Introdução à segurança de dados híbridos

Visão geral da segurança de dados híbridos

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Colaboração com outras organizações

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:

Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Modelo de implantação de segurança de dados híbridos

Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Oferecemos suporte a apenas um único grupo por organização.

Modo de teste de segurança de dados híbridos

Data center de espera para recuperação de desastres

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Configuração do centro de dados de espera para recuperação de desastres

Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:

Antes de você começar

O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas.

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'true'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs.

O que fazer em seguida

Suporte de proxy

Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — Visualiza e controla todas as solicitações que o cliente envia.
  - HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum — nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível apenas se você selecionar HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.

Exemplo de nós e proxy de segurança de dados híbridos

Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)

Preparar seu ambiente

Requisitos de segurança de dados híbridos

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos:

Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de Nome Comum (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, instalado e em execução.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado.

O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com

Requisitos do servidor proxy

Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.

Proxy transparente — Cisco Web Security Appliance (WSA).

Proxy explícito — Squid.

Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
- Nenhuma autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.)
Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados:
- o nome do organizador ou endereço IP (organizador) e a porta
- o nome do banco de dados (dbname) para armazenamento de chaves
- o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves

Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).

Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .

Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .

Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Configurar um grupo de segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

Criar uma ISO de configuração para os organizadores HDS

Baixe o arquivo OVA em sua máquina local para uso posterior.

Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.

Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA.

Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.

Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.

Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos.

Conclua a configuração do grupo.

Executar um teste e mover para a produção (próximo capítulo)

Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

Baixar arquivos de instalação

Inicie sessão em https://admin.webex.com e clique em Services .

Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar .

Selecione No para indicar que você ainda não configurou o nó e clique em Next .

O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.

Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

Antes de você começar

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:

docker login -u hdscustomersro

No aviso de senha, digite o seguinte hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para ir até o host local, http://127.0.0.1:8080 e insira o nome de usuário do administrador do cliente no Control Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.

Na página Visão geral da ferramenta de configuração, clique em Introdução .

Na página ISO Import , você tem estas opções:

Não —Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim —Se você já criou nós HDS, selecione o arquivo ISO na navegação e carregue-o.

Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar .
Se o seu certificado estiver OK, clique em Continuar .
Se o certificado tiver expirado ou você quiser substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar .

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal:

Selecione seu Tipo de banco de dados ( PostgreSQL ou Microsoft SQL Server ).

Se você escolher Microsoft SQL Server , você terá um campo de tipo de autenticação.
( Microsoft SQL Server apenas) Selecione seu Tipo de autenticação :
- Autenticação básica : Você precisa de um nome de conta local do SQL Server no campo Username .
- Autenticação do Windows : Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor de banco de dados no formulário <hostname>:<port> ou <IP-address>:<port>.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando autenticação do Windows, deverá inserir um Nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados .
Insira o Nome de usuário e Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

Selecione um modo de conexão do banco de dados TLS :

Mode

Descrição

Preferência por TLS (opção padrão)

Nós HDS não exigem TLS para se conectar ao servidor de banco de dados de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.

Requer TLS

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.

Requer TLS e verificar o assinante do certificado

Esse modo não é aplicável a bancos de dados do SQL Server.

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Requer TLS e verifique o signatário do certificado e o nome do host

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.
Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Database host e porta . Os nomes devem corresponder exatamente ou o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Na página Registros do sistema, configure seu servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós do grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o registro no host syslogd 10.92.43.23 na porta UDP 514.
Se você configurar o servidor para usar a criptografia TLS, verifique O servidor syslog está configurado para criptografia SSL?.

Se você marcar essa caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação do registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher ou Newline é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Newline -- \n —Selecione esta opção para Graylog e Rsyslog TCP.
Clique em Continuar.

app_datasource_connection_pool_maxSize: 10

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores.

Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar.

Faça uma cópia de backup do arquivo ISO em seu sistema local.

Para desligar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.

Selecione File > Implantar modelo OVF .

No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ...

No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ...

Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.

Verifique os detalhes do modelo e clique em Próximo .

Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ...

No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM.

No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.

Na página Personalizar modelo , defina as seguintes configurações de rede:

Nome do host —Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó.

Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do organizador definido para o nó. O uso de maiúsculas não é suportado no momento.
O comprimento total do FQDN não deve exceder 64 caracteres.

Endereço IP — Insira o endereço IP para a interface interna do nó.

Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
Máscara —Insira o endereço da máscara de sub-rede na notação decimal por ponto. Por exemplo, 255.255.255.0 .
Gateway —Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como um ponto de acesso para outra rede.
Servidores DNS —Insira uma lista de servidores DNS separados por vírgulas, que lidam com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.)
Servidores NTP —Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP.

Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós em um cluster sejam acessíveis a partir de clientes em sua rede para fins administrativos.

Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Clique com o botão direito do mouse no VM do nó e selecione Power > Power On .

O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó.

Dicas de solução de problemas

Configurar a VM de segurança de dados híbridos

1	No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `cisco` Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador.
3	Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar o ISO de configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de você começar

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Storage .
Na lista Datastores, clique com o botão direito do mouse no datastore para suas VMs e clique em Procurar Datastore .
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo .
Navegue até o local onde você baixou o arquivo ISO em seu computador e clique em Abrir .
Clique em Sim para aceitar o aviso de operação de carregamento/download e fechar a caixa de diálogo do armazenamento de dados.

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique CD/DVD Drive 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar .
Salve as alterações e reinicie a máquina virtual.

O que fazer em seguida

Configurar o nó HDS para integração de proxy

Antes de você começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Trust Store e Proxy e escolha uma opção: Nenhum proxy —A opção padrão antes de integrar um proxy. Nenhuma atualização do certificado é necessária. Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária. Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração na configuração HTTPS é necessária na implantação de Segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS). Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher esta opção, você deve inserir as seguintes informações: IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção com base no que seu servidor proxy suporta. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação: Nenhum — nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo.
4	Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .
5	Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor.
6	Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos.
7	Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no grupo

Essa tarefa utiliza o nó genérico que você criou na Configurar a VM de segurança de dados híbridos , registra o nó com a nuvem Webex e o transforma em um nó de segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
4	Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo .
5	No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó .
8	Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
9	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
10	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS .
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos .
3	Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS .
4	Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Resources . A página Recursos de segurança de dados híbridos é exibida. Clique em Adicionar recurso . No primeiro campo, selecione o nome do grupo existente. No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Uma mensagem é exibida indicando que você pode registrar seu nó na nuvem Webex. Clique em Ir para o nó . Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja dar permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

O que fazer em seguida

Executar um teste e mover para a produção (próximo capítulo)

Executar um teste e mover para a produção

Teste para o fluxo de tarefas de produção

Antes de você começar

1	Se aplicável, sincronize o `HdsTrialGroup` objeto de grupo. Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o `HdsTrialGroup` objeto de grupo para sincronização com a nuvem antes de iniciar um teste. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
2	Ativar teste Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
3	Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
4	Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes.
5	Adicionar ou remover usuários do seu teste
6	Conclua a fase de teste com uma das seguintes ações: Mover do teste para a produção Encerre seu teste sem mover para a produção

Ativar teste

Antes de você começar

1	Inicie sessão em https://admin.webex.com e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
4	Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, `HdsTrialGroup`.)

Teste a implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos.

Antes de você começar

Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.

Envie mensagens para o novo espaço.

Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre no kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores encurtados para legibilidade):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada como:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de uma nova chave KMS, filtre no kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada como:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Você deve encontrar uma entrada como:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorar a integridade da segurança de dados híbridos

1	No Control Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter .

Adicionar ou remover usuários do seu teste

Depois de ativar um teste e adicionar o conjunto inicial de usuários de teste, você poderá adicionar ou remover membros de teste a qualquer momento enquanto o teste estiver ativo.

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste.
4	Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar .

Mover do teste para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Mover para produção .
4	Confirme que você deseja mover todos os usuários para a produção.

Encerre seu teste sem mover para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Desativar, clique em Desativar .
4	Confirme se você deseja desativar o serviço e encerrar o teste.

Gerenciar sua implantação HDS

Gerenciar implantação HDS

Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.

Definir agenda de atualização do grupo

Para definir a agenda de atualização:

1	Inicie sessão no Control Hub.
2	Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos .
3	Na página Recursos de segurança de dados híbridos, selecione o grupo.
4	No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo.
5	Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do seu nó de Segurança de dados híbridos por um motivo, como:

Alterar certificados x.509 devido à expiração ou outros motivos.

Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.

Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.

Criando uma nova configuração para preparar um novo data center.

Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.

Antes de você começar

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.

Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
```
docker login -u hdscustomersro
```
No aviso de senha, digite o seguinte hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

Use um navegador para se conectar ao host local, http://127.0.0.1:8080.

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Quando solicitado, insira as credenciais de início de sessão do cliente e clique em Aceitar para continuar.
Importe o arquivo ISO de configuração atual.
Siga os avisos para concluir a ferramenta e baixar o arquivo atualizado.

Para desligar a ferramenta de Configuração, digite CTRL+C.
Crie uma cópia de backup do arquivo atualizado em outro centro de dados.

Instale o OVA do host HDS.
Configure a VM do HDS.
Monte o arquivo de configuração atualizado.
Registre o novo nó no Control Hub.

Desligue a máquina virtual.
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique CD/DVD Drive 1 Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração.
Marque Conectar ao ligar.
Salve suas alterações e ligue a máquina virtual.

Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desativar modo de resolução DNS externo bloqueado

Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.

Antes de você começar

Certifique-se de que seus servidores DNS internos possam resolver nomes DNS públicos e que seus nós possam se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim .
3	Vá para a página Trust Store e Proxy .
4	Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não.

O que fazer em seguida

Repita o teste de conexão de proxy em cada nó do cluster de Segurança de dados híbridos.

Remover um nó

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

Remova o nó:

Inicie sessão no Control Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página Recursos de segurança de dados híbridos.
Selecione o grupo para exibir o painel de Visão geral.
Clique em Abrir lista de nós .
Na guia Nós, selecione o nó que deseja remover.
Clique Ações > Cancelar registro do nó .

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Centro de dados de espera

Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'false'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique a saída do syslog para verificar se os nós do centro de dados em espera não estão no modo passivo. "KMS configurado no modo passivo" não deve aparecer no syslogs.

O que fazer em seguida

(Opcional) Desmontar ISO após a configuração HDS

Antes de você começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um de seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Escolher Editar configurações > unidade de CD/DVD e desmarque Arquivo ISO do armazenamento de dados .
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por sua vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.

Alertas

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros do banco de dados ou problemas de rede local.
Falha na conexão de banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa .
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento.
Registro do serviço em nuvem removido.	Registro nos serviços em nuvem encerrado. O serviço está sendo desligado.
Serviço ainda não ativado.	Ative um teste ou termine de mover o teste para a produção.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação para serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo de keystore local.	Verifique a integridade e a precisão da senha no arquivo de keystore local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível postar métricas.	Verifique o acesso à rede local para serviços externos em nuvem.
/media/configdrive/hds directory não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá.
2	Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos.
3	Entre em contato com o suporte da Cisco .

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.

O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).

Use o OpenSSL para gerar um arquivo PKCS12

Antes de você começar

OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).

1	Ao receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo em lote deve incluir o certificado do servidor, todos os certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 -in hdsnode.p12` Insira uma senha no aviso para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

O que fazer em seguida

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Tráfego De Entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó

Configurar proxies de Squid para segurança de dados híbridos

O Websocket não pode se conectar através do proxy Squid

Squid 4 e 5

Adicionar o on_unsupported_protocol diretiva para squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Prefácio

Informações novas e alteradas

Data

Alterações Feitas

20 de outubro de 2023

Informações atualizadas nos requisitos do servidor de banco de dados .
Adicionado Configurar centro de dados de espera para recuperação de desastres .
Informações atualizadas no Centro de dados de espera para recuperação de desastres e Recuperação de desastres usando o Centro de dados de espera .

07 de agosto de 2023

Adicionada uma nota em Baixar arquivos de instalação .
Adicionada uma nota em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .

23 de maio de 2023

Informações excluídas de Requisitos do servidor de banco de dados solicitando que um recurso seja ativado entrando em contato com a equipe da conta.
Informações atualizadas nos requisitos de conectividade externa e adicionadas ao Canadá à tabela de organizadores CI.
Adicionada uma nota em Expectativas para Implantar a segurança de dados híbridos em relação à indisponibilidade dos mecanismos para mover as chaves de volta para a nuvem.

06 de dezembro de 2022

As imagens da Ferramenta de configuração HDS agora estão hospedadas no ciscocitg repositório dockerhub.
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar os tópicos Configuração do nó para confirmar as alterações nos comandos.

23 de novembro de 2022

Os nós HDS agora podem usar a autenticação do Windows no Microsoft SQL Server.

Tópico Requisitos do servidor de banco de dados com requisitos adicionais para este modo de autenticação.

Atualizado Criar uma ISO de configuração para os hosts HDS com o procedimento para configurar a autenticação do Windows nos nós.
Atualizado o Requisitos do servidor de banco de dados tópico com novas versões mínimas necessárias (PostgreSQL 10).

13 de outubro de 2021

O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop .

24 de junho de 2021

Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes.

30 de abril de 2021

Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes.

24 de fevereiro de 2021

A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes.

2 de fevereiro de 2021

O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

11 de janeiro de 2021

Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS .

13 de outubro de 2020

08 de outubro de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP.

14 de agosto de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão.

05 de agosto de 2020

Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log.

Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores.

16 de junho de 2020

Atualizado Remova um nó para alterações na interface de usuário do Control Hub.

04 de junho de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir.

29 de maio de 2020

Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos.

05 de maio de 2020

Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5.

21 de abril de 2020

Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas.

1º de abril de 2020

Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais.

20 de fevereiro de 2020 Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS.

04 de fevereiro de 2020 Requisitos do servidor proxy atualizados.

16 de dezembro de 2019 Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy .

19 de novembro de 2019

Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções:

Suporte de proxy
Configurar o nó HDS para integração de proxy
Desativar modo de resolução DNS externo bloqueado

8 de novembro de 2019

Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois.

Seções seguintes atualizadas em conformidade:

Fluxo de tarefas de implantação de segurança de dados híbridos
Instalar o OVA do organizador HDS
Configurar a VM de segurança de dados híbridos

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

06 de setembro de 2019

SQL Server Standard adicionado aos requisitos do servidor de banco de dados .

20 de agosto de 2019

Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex.

Suporte de proxy
Requisitos do servidor proxy
Configurar o nó HDS para integração de proxy

Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex .

6 de março de 2019

Requisitos modificados e pré-requisitos em um capítulo separado, Prepare seu ambiente .
Adicionada a visão geral do Fluxo de tarefa de implantação de segurança de dados híbridos no capítulo Configurar um grupo de segurança de dados híbridos .

Observe que até você iniciar um teste (usando as instruções no capítulo subsequente), seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
Adicionado o Teste para o fluxo de tarefa de produção no capítulo Execute um teste e mova para a produção .

28 de fevereiro de 2019

Corrigida a quantidade de espaço no disco rígido local por servidor que você deve reservar ao preparar os organizadores virtuais que se tornam os nós de Segurança de Dados Híbridos, de 50 GB a 20 GB, para refletir o tamanho do disco que o OVA cria.

26 de fevereiro de 2019

Os nós de Segurança de dados híbridos agora suportam conexões criptografadas com servidores de banco de dados PostgreSQL e conexões de registro criptografado com um servidor syslog compatível com TLS. Atualizado Crie uma ISO de configuração para os hosts HDS com instruções.
URLs de destino removidas da tabela "Requisitos de conectividade da Internet para VMs de nó de segurança de dados híbridos". A tabela agora refere-se à lista mantida na tabela "URLs adicionais para serviços híbridos do Webex Teams" de Requisitos de rede para serviços do Webex Teams .

24 de janeiro de 2019

5 de novembro de 2018

Adicionada uma etapa preliminar para limpar quaisquer instâncias existentes do docker hds em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .
Atualizada a etapa de nível de acesso principal em Criar uma ISO de configuração para os hosts HDS para corresponder à interface.

19 de outubro de 2018

Divida as informações de conexão do firewall nos requisitos do nó e nos requisitos da máquina de configuração ISO em Conclua os Pré-requisitos para a Segurança de dados híbridos .

31 de julho de 2018

Adicionada porta 22 (acesso SSH) e informações sobre conexões NAT e firewall para Conclua os pré-requisitos para a segurança de dados híbridos .

21 de maio de 2018

Terminologia alterada para refletir a reformulação de marca do Cisco Spark:

A segurança de dados híbridos Cisco Spark agora é a segurança de dados híbridos.
O aplicativo Cisco Spark agora é o aplicativo do aplicativo Webex.
A nuvem do Cisco Collaboraton agora é a nuvem Webex.

11 de abril de 2018

Adicionado Centro de dados de espera para recuperação de desastres .
Atualizado Conclua os pré-requisitos para a segurança de dados híbridos para especificar que o ambiente de backup deve estar em um centro de dados diferente.
Atualizado Recuperação de desastres usando o centro de dados de espera .

22 de fevereiro de 2018

Informações adicionadas sobre a senha da conta de serviço Duração de 9 meses e o uso da ferramenta Configuração do HDS para redefinir as senhas da conta de serviço, em Criar uma ISO de configuração para os organizadores HDS e Alterar a configuração do nó .

15 de fevereiro de 2018

Na tabela X.509 Requisitos de Certificado , especificado que o certificado não pode ser um certificado curinga e que o KMS usa o domínio CN, não qualquer domínio definido nos campos SAN x.509v3.

18 de janeiro de 2018

Anexo adicionado, Tráfego entre os nós HDS e a nuvem .
Removido um problema resolvido de Problemas conhecidos de segurança de dados híbridos .
index.docker.io alterado para *.docker.io e adicionado *.cloudfront.net à lista de requisitos de conectividade TCP para os nós HDS em Conclua os pré-requisitos de segurança de dados híbridos .
Atualizado Crie uma ISO de configuração para os hosts HDS para indicar que, se o host do banco de dados e o servidor Syslogd não forem solucionáveis por DNS dos nós HDS, você deverá configurá-los usando endereços IP.

2 de novembro de 2017

Sincronização de diretório esclarecida do HdsTrialGroup.
Instruções fixas para carregar o arquivo de configuração ISO para a montagem nos nós VM.

18 de agosto de 2017

Primeira publicação

Introdução à segurança de dados híbridos

Visão geral da segurança de dados híbridos

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Colaboração com outras organizações

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:

Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Modelo de implantação de segurança de dados híbridos

Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Oferecemos suporte a apenas um único grupo por organização.

Modo de teste de segurança de dados híbridos

Data center de espera para recuperação de desastres

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Configuração do centro de dados de espera para recuperação de desastres

Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:

Antes de você começar

O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas.

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'true'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs.

O que fazer em seguida

Suporte de proxy

Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — Visualiza e controla todas as solicitações que o cliente envia.
  - HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum — nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível apenas se você selecionar HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.

Exemplo de nós e proxy de segurança de dados híbridos

Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)

Preparar seu ambiente

Requisitos de segurança de dados híbridos

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos:

Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de Nome Comum (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, instalado e em execução.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado.

O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com

Requisitos do servidor proxy

Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.

Proxy transparente — Cisco Web Security Appliance (WSA).

Proxy explícito — Squid.

Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
- Nenhuma autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.)
Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados:
- o nome do organizador ou endereço IP (organizador) e a porta
- o nome do banco de dados (dbname) para armazenamento de chaves
- o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves

Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).

Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .

Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .

Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Configurar um grupo de segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

Criar uma ISO de configuração para os organizadores HDS

Baixe o arquivo OVA em sua máquina local para uso posterior.

Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.

Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA.

Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.

Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.

Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos.

Conclua a configuração do grupo.

Executar um teste e mover para a produção (próximo capítulo)

Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

Baixar arquivos de instalação

Inicie sessão em https://admin.webex.com e clique em Services .

Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar .

Selecione No para indicar que você ainda não configurou o nó e clique em Next .

O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.

Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

Antes de você começar

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:

docker login -u hdscustomersro

No aviso de senha, digite o seguinte hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para ir até o host local, http://127.0.0.1:8080 e insira o nome de usuário do administrador do cliente no Control Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.

Na página Visão geral da ferramenta de configuração, clique em Introdução .

Na página ISO Import , você tem estas opções:

Não —Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim —Se você já criou nós HDS, selecione o arquivo ISO na navegação e carregue-o.

Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar .
Se o seu certificado estiver OK, clique em Continuar .
Se o certificado tiver expirado ou você quiser substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar .

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal:

Selecione seu Tipo de banco de dados ( PostgreSQL ou Microsoft SQL Server ).

Se você escolher Microsoft SQL Server , você terá um campo de tipo de autenticação.
( Microsoft SQL Server apenas) Selecione seu Tipo de autenticação :
- Autenticação básica : Você precisa de um nome de conta local do SQL Server no campo Username .
- Autenticação do Windows : Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor de banco de dados no formulário <hostname>:<port> ou <IP-address>:<port>.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando autenticação do Windows, deverá inserir um Nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados .
Insira o Nome de usuário e Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

Selecione um modo de conexão do banco de dados TLS :

Mode

Descrição

Preferência por TLS (opção padrão)

Nós HDS não exigem TLS para se conectar ao servidor de banco de dados de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.

Requer TLS

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.

Requer TLS e verificar o assinante do certificado

Esse modo não é aplicável a bancos de dados do SQL Server.

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Requer TLS e verifique o signatário do certificado e o nome do host

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.
Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Database host e porta . Os nomes devem corresponder exatamente ou o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Na página Registros do sistema, configure seu servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós do grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o registro no host syslogd 10.92.43.23 na porta UDP 514.
Se você configurar o servidor para usar a criptografia TLS, verifique O servidor syslog está configurado para criptografia SSL?.

Se você marcar essa caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação do registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher ou Newline é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Newline -- \n —Selecione esta opção para Graylog e Rsyslog TCP.
Clique em Continuar.

app_datasource_connection_pool_maxSize: 10

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores.

Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar.

Faça uma cópia de backup do arquivo ISO em seu sistema local.

Para desligar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.

Selecione File > Implantar modelo OVF .

No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ...

No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ...

Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.

Verifique os detalhes do modelo e clique em Próximo .

Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ...

No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM.

No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.

Na página Personalizar modelo , defina as seguintes configurações de rede:

Nome do host —Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó.

Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do organizador definido para o nó. O uso de maiúsculas não é suportado no momento.
O comprimento total do FQDN não deve exceder 64 caracteres.

Endereço IP — Insira o endereço IP para a interface interna do nó.

Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
Máscara —Insira o endereço da máscara de sub-rede na notação decimal por ponto. Por exemplo, 255.255.255.0 .
Gateway —Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como um ponto de acesso para outra rede.
Servidores DNS —Insira uma lista de servidores DNS separados por vírgulas, que lidam com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.)
Servidores NTP —Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP.

Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós em um cluster sejam acessíveis a partir de clientes em sua rede para fins administrativos.

Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Clique com o botão direito do mouse no VM do nó e selecione Power > Power On .

O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó.

Dicas de solução de problemas

Configurar a VM de segurança de dados híbridos

1	No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `cisco` Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador.
3	Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar o ISO de configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de você começar

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Storage .
Na lista Datastores, clique com o botão direito do mouse no datastore para suas VMs e clique em Procurar Datastore .
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo .
Navegue até o local onde você baixou o arquivo ISO em seu computador e clique em Abrir .
Clique em Sim para aceitar o aviso de operação de carregamento/download e fechar a caixa de diálogo do armazenamento de dados.

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique CD/DVD Drive 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar .
Salve as alterações e reinicie a máquina virtual.

O que fazer em seguida

Configurar o nó HDS para integração de proxy

Antes de você começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Trust Store e Proxy e escolha uma opção: Nenhum proxy —A opção padrão antes de integrar um proxy. Nenhuma atualização do certificado é necessária. Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária. Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração na configuração HTTPS é necessária na implantação de Segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS). Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher esta opção, você deve inserir as seguintes informações: IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção com base no que seu servidor proxy suporta. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação: Nenhum — nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo.
4	Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .
5	Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor.
6	Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos.
7	Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no grupo

Essa tarefa utiliza o nó genérico que você criou na Configurar a VM de segurança de dados híbridos , registra o nó com a nuvem Webex e o transforma em um nó de segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
4	Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo .
5	No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó .
8	Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
9	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
10	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS .
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos .
3	Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS .
4	Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Resources . A página Recursos de segurança de dados híbridos é exibida. Clique em Adicionar recurso . No primeiro campo, selecione o nome do grupo existente. No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Uma mensagem é exibida indicando que você pode registrar seu nó na nuvem Webex. Clique em Ir para o nó . Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja dar permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

O que fazer em seguida

Executar um teste e mover para a produção (próximo capítulo)

Executar um teste e mover para a produção

Teste para o fluxo de tarefas de produção

Antes de você começar

1	Se aplicável, sincronize o `HdsTrialGroup` objeto de grupo. Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o `HdsTrialGroup` objeto de grupo para sincronização com a nuvem antes de iniciar um teste. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
2	Ativar teste Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
3	Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
4	Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes.
5	Adicionar ou remover usuários do seu teste
6	Conclua a fase de teste com uma das seguintes ações: Mover do teste para a produção Encerre seu teste sem mover para a produção

Ativar teste

Antes de você começar

1	Inicie sessão em https://admin.webex.com e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
4	Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, `HdsTrialGroup`.)

Teste a implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos.

Antes de você começar

Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.

Envie mensagens para o novo espaço.

Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre no kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores encurtados para legibilidade):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada como:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de uma nova chave KMS, filtre no kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada como:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Você deve encontrar uma entrada como:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorar a integridade da segurança de dados híbridos

1	No Control Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter .

Adicionar ou remover usuários do seu teste

Depois de ativar um teste e adicionar o conjunto inicial de usuários de teste, você poderá adicionar ou remover membros de teste a qualquer momento enquanto o teste estiver ativo.

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste.
4	Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar .

Mover do teste para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Mover para produção .
4	Confirme que você deseja mover todos os usuários para a produção.

Encerre seu teste sem mover para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Desativar, clique em Desativar .
4	Confirme se você deseja desativar o serviço e encerrar o teste.

Gerenciar sua implantação HDS

Gerenciar implantação HDS

Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.

Definir agenda de atualização do grupo

Para definir a agenda de atualização:

1	Inicie sessão no Control Hub.
2	Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos .
3	Na página Recursos de segurança de dados híbridos, selecione o grupo.
4	No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo.
5	Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do seu nó de Segurança de dados híbridos por um motivo, como:

Alterar certificados x.509 devido à expiração ou outros motivos.

Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.

Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.

Criando uma nova configuração para preparar um novo data center.

Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.

Antes de você começar

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.

Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
```
docker login -u hdscustomersro
```
No aviso de senha, digite o seguinte hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

Use um navegador para se conectar ao host local, http://127.0.0.1:8080.

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Quando solicitado, insira as credenciais de início de sessão do cliente e clique em Aceitar para continuar.
Importe o arquivo ISO de configuração atual.
Siga os avisos para concluir a ferramenta e baixar o arquivo atualizado.

Para desligar a ferramenta de Configuração, digite CTRL+C.
Crie uma cópia de backup do arquivo atualizado em outro centro de dados.

Instale o OVA do host HDS.
Configure a VM do HDS.
Monte o arquivo de configuração atualizado.
Registre o novo nó no Control Hub.

Desligue a máquina virtual.
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique CD/DVD Drive 1 Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração.
Marque Conectar ao ligar.
Salve suas alterações e ligue a máquina virtual.

Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desativar modo de resolução DNS externo bloqueado

Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.

Antes de você começar

Certifique-se de que seus servidores DNS internos possam resolver nomes DNS públicos e que seus nós possam se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim .
3	Vá para a página Trust Store e Proxy .
4	Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não.

O que fazer em seguida

Repita o teste de conexão de proxy em cada nó do cluster de Segurança de dados híbridos.

Remover um nó

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

Remova o nó:

Inicie sessão no Control Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página Recursos de segurança de dados híbridos.
Selecione o grupo para exibir o painel de Visão geral.
Clique em Abrir lista de nós .
Na guia Nós, selecione o nó que deseja remover.
Clique Ações > Cancelar registro do nó .

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Centro de dados de espera

Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'false'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique a saída do syslog para verificar se os nós do centro de dados em espera não estão no modo passivo. "KMS configurado no modo passivo" não deve aparecer no syslogs.

O que fazer em seguida

(Opcional) Desmontar ISO após a configuração HDS

Antes de você começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um de seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Escolher Editar configurações > unidade de CD/DVD e desmarque Arquivo ISO do armazenamento de dados .
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por sua vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.

Alertas

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros do banco de dados ou problemas de rede local.
Falha na conexão de banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa .
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento.
Registro do serviço em nuvem removido.	Registro nos serviços em nuvem encerrado. O serviço está sendo desligado.
Serviço ainda não ativado.	Ative um teste ou termine de mover o teste para a produção.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação para serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo de keystore local.	Verifique a integridade e a precisão da senha no arquivo de keystore local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível postar métricas.	Verifique o acesso à rede local para serviços externos em nuvem.
/media/configdrive/hds directory não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá.
2	Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos.
3	Entre em contato com o suporte da Cisco .

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.

O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).

Use o OpenSSL para gerar um arquivo PKCS12

Antes de você começar

OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).

1	Ao receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo em lote deve incluir o certificado do servidor, todos os certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 -in hdsnode.p12` Insira uma senha no aviso para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

O que fazer em seguida

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Tráfego De Entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó

Configurar proxies de Squid para segurança de dados híbridos

O Websocket não pode se conectar através do proxy Squid

Squid 4 e 5

Adicionar o on_unsupported_protocol diretiva para squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Prefácio

Informações novas e alteradas

Data

Alterações Feitas

20 de outubro de 2023

Informações atualizadas nos requisitos do servidor de banco de dados .
Adicionado Configurar centro de dados de espera para recuperação de desastres .
Informações atualizadas no Centro de dados de espera para recuperação de desastres e Recuperação de desastres usando o Centro de dados de espera .

07 de agosto de 2023

Adicionada uma nota em Baixar arquivos de instalação .
Adicionada uma nota em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .

23 de maio de 2023

Informações excluídas de Requisitos do servidor de banco de dados solicitando que um recurso seja ativado entrando em contato com a equipe da conta.
Informações atualizadas nos requisitos de conectividade externa e adicionadas ao Canadá à tabela de organizadores CI.
Adicionada uma nota em Expectativas para Implantar a segurança de dados híbridos em relação à indisponibilidade dos mecanismos para mover as chaves de volta para a nuvem.

06 de dezembro de 2022

As imagens da Ferramenta de configuração HDS agora estão hospedadas no ciscocitg repositório dockerhub.
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar os tópicos Configuração do nó para confirmar as alterações nos comandos.

23 de novembro de 2022

Os nós HDS agora podem usar a autenticação do Windows no Microsoft SQL Server.

Tópico Requisitos do servidor de banco de dados com requisitos adicionais para este modo de autenticação.

Atualizado Criar uma ISO de configuração para os hosts HDS com o procedimento para configurar a autenticação do Windows nos nós.
Atualizado o Requisitos do servidor de banco de dados tópico com novas versões mínimas necessárias (PostgreSQL 10).

13 de outubro de 2021

O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop .

24 de junho de 2021

Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes.

30 de abril de 2021

Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes.

24 de fevereiro de 2021

A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes.

2 de fevereiro de 2021

O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

11 de janeiro de 2021

Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS .

13 de outubro de 2020

08 de outubro de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP.

14 de agosto de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão.

05 de agosto de 2020

Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log.

Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores.

16 de junho de 2020

Atualizado Remova um nó para alterações na interface de usuário do Control Hub.

04 de junho de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir.

29 de maio de 2020

Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos.

05 de maio de 2020

Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5.

21 de abril de 2020

Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas.

1º de abril de 2020

Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais.

20 de fevereiro de 2020 Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS.

04 de fevereiro de 2020 Requisitos do servidor proxy atualizados.

16 de dezembro de 2019 Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy .

19 de novembro de 2019

Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções:

Suporte de proxy
Configurar o nó HDS para integração de proxy
Desativar modo de resolução DNS externo bloqueado

8 de novembro de 2019

Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois.

Seções seguintes atualizadas em conformidade:

Fluxo de tarefas de implantação de segurança de dados híbridos
Instalar o OVA do organizador HDS
Configurar a VM de segurança de dados híbridos

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

06 de setembro de 2019

SQL Server Standard adicionado aos requisitos do servidor de banco de dados .

20 de agosto de 2019

Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex.

Suporte de proxy
Requisitos do servidor proxy
Configurar o nó HDS para integração de proxy

Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex .

6 de março de 2019

Requisitos modificados e pré-requisitos em um capítulo separado, Prepare seu ambiente .
Adicionada a visão geral do Fluxo de tarefa de implantação de segurança de dados híbridos no capítulo Configurar um grupo de segurança de dados híbridos .

Observe que até você iniciar um teste (usando as instruções no capítulo subsequente), seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
Adicionado o Teste para o fluxo de tarefa de produção no capítulo Execute um teste e mova para a produção .

28 de fevereiro de 2019

Corrigida a quantidade de espaço no disco rígido local por servidor que você deve reservar ao preparar os organizadores virtuais que se tornam os nós de Segurança de Dados Híbridos, de 50 GB a 20 GB, para refletir o tamanho do disco que o OVA cria.

26 de fevereiro de 2019

Os nós de Segurança de dados híbridos agora suportam conexões criptografadas com servidores de banco de dados PostgreSQL e conexões de registro criptografado com um servidor syslog compatível com TLS. Atualizado Crie uma ISO de configuração para os hosts HDS com instruções.
URLs de destino removidas da tabela "Requisitos de conectividade da Internet para VMs de nó de segurança de dados híbridos". A tabela agora refere-se à lista mantida na tabela "URLs adicionais para serviços híbridos do Webex Teams" de Requisitos de rede para serviços do Webex Teams .

24 de janeiro de 2019

5 de novembro de 2018

Adicionada uma etapa preliminar para limpar quaisquer instâncias existentes do docker hds em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .
Atualizada a etapa de nível de acesso principal em Criar uma ISO de configuração para os hosts HDS para corresponder à interface.

19 de outubro de 2018

Divida as informações de conexão do firewall nos requisitos do nó e nos requisitos da máquina de configuração ISO em Conclua os Pré-requisitos para a Segurança de dados híbridos .

31 de julho de 2018

Adicionada porta 22 (acesso SSH) e informações sobre conexões NAT e firewall para Conclua os pré-requisitos para a segurança de dados híbridos .

21 de maio de 2018

Terminologia alterada para refletir a reformulação de marca do Cisco Spark:

A segurança de dados híbridos Cisco Spark agora é a segurança de dados híbridos.
O aplicativo Cisco Spark agora é o aplicativo do aplicativo Webex.
A nuvem do Cisco Collaboraton agora é a nuvem Webex.

11 de abril de 2018

Adicionado Centro de dados de espera para recuperação de desastres .
Atualizado Conclua os pré-requisitos para a segurança de dados híbridos para especificar que o ambiente de backup deve estar em um centro de dados diferente.
Atualizado Recuperação de desastres usando o centro de dados de espera .

22 de fevereiro de 2018

Informações adicionadas sobre a senha da conta de serviço Duração de 9 meses e o uso da ferramenta Configuração do HDS para redefinir as senhas da conta de serviço, em Criar uma ISO de configuração para os organizadores HDS e Alterar a configuração do nó .

15 de fevereiro de 2018

Na tabela X.509 Requisitos de Certificado , especificado que o certificado não pode ser um certificado curinga e que o KMS usa o domínio CN, não qualquer domínio definido nos campos SAN x.509v3.

18 de janeiro de 2018

Anexo adicionado, Tráfego entre os nós HDS e a nuvem .
Removido um problema resolvido de Problemas conhecidos de segurança de dados híbridos .
index.docker.io alterado para *.docker.io e adicionado *.cloudfront.net à lista de requisitos de conectividade TCP para os nós HDS em Conclua os pré-requisitos de segurança de dados híbridos .
Atualizado Crie uma ISO de configuração para os hosts HDS para indicar que, se o host do banco de dados e o servidor Syslogd não forem solucionáveis por DNS dos nós HDS, você deverá configurá-los usando endereços IP.

2 de novembro de 2017

Sincronização de diretório esclarecida do HdsTrialGroup.
Instruções fixas para carregar o arquivo de configuração ISO para a montagem nos nós VM.

18 de agosto de 2017

Primeira publicação

Introdução à segurança de dados híbridos

Visão geral da segurança de dados híbridos

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Colaboração com outras organizações

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:

Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Modelo de implantação de segurança de dados híbridos

Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Oferecemos suporte a apenas um único grupo por organização.

Modo de teste de segurança de dados híbridos

Data center de espera para recuperação de desastres

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Configuração do centro de dados de espera para recuperação de desastres

Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:

Antes de você começar

O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas.

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'true'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs.

O que fazer em seguida

Suporte de proxy

Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — Visualiza e controla todas as solicitações que o cliente envia.
  - HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum — nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível apenas se você selecionar HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.

Exemplo de nós e proxy de segurança de dados híbridos

Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)

Preparar seu ambiente

Requisitos de segurança de dados híbridos

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos:

Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de Nome Comum (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, instalado e em execução.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado.

O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com

Requisitos do servidor proxy

Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.

Proxy transparente — Cisco Web Security Appliance (WSA).

Proxy explícito — Squid.

Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
- Nenhuma autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.)
Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados:
- o nome do organizador ou endereço IP (organizador) e a porta
- o nome do banco de dados (dbname) para armazenamento de chaves
- o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves

Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).

Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .

Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .

Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Configurar um grupo de segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

Criar uma ISO de configuração para os organizadores HDS

Baixe o arquivo OVA em sua máquina local para uso posterior.

Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.

Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA.

Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.

Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.

Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos.

Conclua a configuração do grupo.

Executar um teste e mover para a produção (próximo capítulo)

Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

Baixar arquivos de instalação

Inicie sessão em https://admin.webex.com e clique em Services .

Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar .

Selecione No para indicar que você ainda não configurou o nó e clique em Next .

O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.

Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

Antes de você começar

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:

docker login -u hdscustomersro

No aviso de senha, digite o seguinte hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para ir até o host local, http://127.0.0.1:8080 e insira o nome de usuário do administrador do cliente no Control Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.

Na página Visão geral da ferramenta de configuração, clique em Introdução .

Na página ISO Import , você tem estas opções:

Não —Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim —Se você já criou nós HDS, selecione o arquivo ISO na navegação e carregue-o.

Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar .
Se o seu certificado estiver OK, clique em Continuar .
Se o certificado tiver expirado ou você quiser substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar .

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal:

Selecione seu Tipo de banco de dados ( PostgreSQL ou Microsoft SQL Server ).

Se você escolher Microsoft SQL Server , você terá um campo de tipo de autenticação.
( Microsoft SQL Server apenas) Selecione seu Tipo de autenticação :
- Autenticação básica : Você precisa de um nome de conta local do SQL Server no campo Username .
- Autenticação do Windows : Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor de banco de dados no formulário <hostname>:<port> ou <IP-address>:<port>.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando autenticação do Windows, deverá inserir um Nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados .
Insira o Nome de usuário e Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

Selecione um modo de conexão do banco de dados TLS :

Mode

Descrição

Preferência por TLS (opção padrão)

Nós HDS não exigem TLS para se conectar ao servidor de banco de dados de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.

Requer TLS

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.

Requer TLS e verificar o assinante do certificado

Esse modo não é aplicável a bancos de dados do SQL Server.

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Requer TLS e verifique o signatário do certificado e o nome do host

Os nós HDS se conectam apenas se o servidor de banco de dados de dados pode negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó descartará a conexão.
Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Database host e porta . Os nomes devem corresponder exatamente ou o nó descartará a conexão.

Utilize o certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Na página Registros do sistema, configure seu servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós do grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o registro no host syslogd 10.92.43.23 na porta UDP 514.
Se você configurar o servidor para usar a criptografia TLS, verifique O servidor syslog está configurado para criptografia SSL?.

Se você marcar essa caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação do registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher ou Newline é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Newline -- \n —Selecione esta opção para Graylog e Rsyslog TCP.
Clique em Continuar.

app_datasource_connection_pool_maxSize: 10

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores.

Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar.

Faça uma cópia de backup do arquivo ISO em seu sistema local.

Para desligar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.

Selecione File > Implantar modelo OVF .

No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ...

No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ...

Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.

Verifique os detalhes do modelo e clique em Próximo .

Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ...

No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM.

No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.

Na página Personalizar modelo , defina as seguintes configurações de rede:

Nome do host —Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó.

Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do organizador definido para o nó. O uso de maiúsculas não é suportado no momento.
O comprimento total do FQDN não deve exceder 64 caracteres.

Endereço IP — Insira o endereço IP para a interface interna do nó.

Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
Máscara —Insira o endereço da máscara de sub-rede na notação decimal por ponto. Por exemplo, 255.255.255.0 .
Gateway —Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como um ponto de acesso para outra rede.
Servidores DNS —Insira uma lista de servidores DNS separados por vírgulas, que lidam com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.)
Servidores NTP —Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP.

Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós em um cluster sejam acessíveis a partir de clientes em sua rede para fins administrativos.

Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Clique com o botão direito do mouse no VM do nó e selecione Power > Power On .

O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó.

Dicas de solução de problemas

Configurar a VM de segurança de dados híbridos

1	No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `cisco` Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador.
3	Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar o ISO de configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de você começar

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Storage .
Na lista Datastores, clique com o botão direito do mouse no datastore para suas VMs e clique em Procurar Datastore .
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo .
Navegue até o local onde você baixou o arquivo ISO em seu computador e clique em Abrir .
Clique em Sim para aceitar o aviso de operação de carregamento/download e fechar a caixa de diálogo do armazenamento de dados.

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique CD/DVD Drive 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar .
Salve as alterações e reinicie a máquina virtual.

O que fazer em seguida

Configurar o nó HDS para integração de proxy

Antes de você começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Trust Store e Proxy e escolha uma opção: Nenhum proxy —A opção padrão antes de integrar um proxy. Nenhuma atualização do certificado é necessária. Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária. Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração na configuração HTTPS é necessária na implantação de Segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS). Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher esta opção, você deve inserir as seguintes informações: IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção com base no que seu servidor proxy suporta. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação: Nenhum — nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo.
4	Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .
5	Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor.
6	Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos.
7	Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no grupo

Essa tarefa utiliza o nó genérico que você criou na Configurar a VM de segurança de dados híbridos , registra o nó com a nuvem Webex e o transforma em um nó de segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
4	Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo .
5	No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó .
8	Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
9	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
10	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS .
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos .
3	Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS .
4	Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Resources . A página Recursos de segurança de dados híbridos é exibida. Clique em Adicionar recurso . No primeiro campo, selecione o nome do grupo existente. No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Uma mensagem é exibida indicando que você pode registrar seu nó na nuvem Webex. Clique em Ir para o nó . Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja dar permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

O que fazer em seguida

Executar um teste e mover para a produção (próximo capítulo)

Executar um teste e mover para a produção

Teste para o fluxo de tarefas de produção

Antes de você começar

1	Se aplicável, sincronize o `HdsTrialGroup` objeto de grupo. Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o `HdsTrialGroup` objeto de grupo para sincronização com a nuvem antes de iniciar um teste. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
2	Ativar teste Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
3	Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
4	Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes.
5	Adicionar ou remover usuários do seu teste
6	Conclua a fase de teste com uma das seguintes ações: Mover do teste para a produção Encerre seu teste sem mover para a produção

Ativar teste

Antes de você começar

1	Inicie sessão em https://admin.webex.com e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
4	Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, `HdsTrialGroup`.)

Teste a implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos.

Antes de você começar

Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.

Envie mensagens para o novo espaço.

Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre no kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores encurtados para legibilidade):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada como:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de uma nova chave KMS, filtre no kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada como:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Você deve encontrar uma entrada como:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorar a integridade da segurança de dados híbridos

1	No Control Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter .

Adicionar ou remover usuários do seu teste

Depois de ativar um teste e adicionar o conjunto inicial de usuários de teste, você poderá adicionar ou remover membros de teste a qualquer momento enquanto o teste estiver ativo.

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste.
4	Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar .

Mover do teste para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Status do serviço, clique em Mover para produção .
4	Confirme que você deseja mover todos os usuários para a produção.

Encerre seu teste sem mover para a produção

1	Inicie sessão no Control Hub e selecione Services .
2	Em Segurança de dados híbridos, clique em Configurações .
3	Na seção Desativar, clique em Desativar .
4	Confirme se você deseja desativar o serviço e encerrar o teste.

Gerenciar sua implantação HDS

Gerenciar implantação HDS

Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.

Definir agenda de atualização do grupo

Para definir a agenda de atualização:

1	Inicie sessão no Control Hub.
2	Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos .
3	Na página Recursos de segurança de dados híbridos, selecione o grupo.
4	No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo.
5	Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do seu nó de Segurança de dados híbridos por um motivo, como:

Alterar certificados x.509 devido à expiração ou outros motivos.

Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.

Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.

Criando uma nova configuração para preparar um novo data center.

Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.

Antes de você começar

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.

Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS.

Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente:

Em ambientes normais:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retornará um erro que você poderá ignorar.

Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
```
docker login -u hdscustomersro
```
No aviso de senha, digite o seguinte hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes normais:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, digite o comando apropriado para seu ambiente:

Em ambientes regulares sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080."

Use um navegador para se conectar ao host local, http://127.0.0.1:8080.

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Quando solicitado, insira as credenciais de início de sessão do cliente e clique em Aceitar para continuar.
Importe o arquivo ISO de configuração atual.
Siga os avisos para concluir a ferramenta e baixar o arquivo atualizado.

Para desligar a ferramenta de Configuração, digite CTRL+C.
Crie uma cópia de backup do arquivo atualizado em outro centro de dados.

Instale o OVA do host HDS.
Configure a VM do HDS.
Monte o arquivo de configuração atualizado.
Registre o novo nó no Control Hub.

Desligue a máquina virtual.
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique CD/DVD Drive 1 Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração.
Marque Conectar ao ligar.
Salve suas alterações e ligue a máquina virtual.

Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desativar modo de resolução DNS externo bloqueado

Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.

Antes de você começar

Certifique-se de que seus servidores DNS internos possam resolver nomes DNS públicos e que seus nós possam se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim .
3	Vá para a página Trust Store e Proxy .
4	Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não.

O que fazer em seguida

Repita o teste de conexão de proxy em cada nó do cluster de Segurança de dados híbridos.

Remover um nó

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

Remova o nó:

Inicie sessão no Control Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página Recursos de segurança de dados híbridos.
Selecione o grupo para exibir o painel de Visão geral.
Clique em Abrir lista de nós .
Na guia Nós, selecione o nó que deseja remover.
Clique Ações > Cancelar registro do nó .

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Centro de dados de espera

Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'false'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique a saída do syslog para verificar se os nós do centro de dados em espera não estão no modo passivo. "KMS configurado no modo passivo" não deve aparecer no syslogs.

O que fazer em seguida

(Opcional) Desmontar ISO após a configuração HDS

Antes de você começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um de seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Escolher Editar configurações > unidade de CD/DVD e desmarque Arquivo ISO do armazenamento de dados .
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por sua vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.

Alertas

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros do banco de dados ou problemas de rede local.
Falha na conexão de banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa .
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento.
Registro do serviço em nuvem removido.	Registro nos serviços em nuvem encerrado. O serviço está sendo desligado.
Serviço ainda não ativado.	Ative um teste ou termine de mover o teste para a produção.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação para serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo de keystore local.	Verifique a integridade e a precisão da senha no arquivo de keystore local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível postar métricas.	Verifique o acesso à rede local para serviços externos em nuvem.
/media/configdrive/hds directory não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá.
2	Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos.
3	Entre em contato com o suporte da Cisco .

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.

O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).

Use o OpenSSL para gerar um arquivo PKCS12

Antes de você começar

OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).

1	Ao receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo em lote deve incluir o certificado do servidor, todos os certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 -in hdsnode.p12` Insira uma senha no aviso para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

O que fazer em seguida

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Tráfego De Entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó

Configurar proxies de Squid para segurança de dados híbridos

O Websocket não pode se conectar através do proxy Squid

Squid 4 e 5

Adicionar o on_unsupported_protocol diretiva para squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Prefácio

Informações novas e alteradas

Data

Alterações Feitas

20 de outubro de 2023

Informações atualizadas nos requisitos do servidor de banco de dados .
Adicionado Configurar centro de dados de espera para recuperação de desastres .
Informações atualizadas no Centro de dados de espera para recuperação de desastres e Recuperação de desastres usando o Centro de dados de espera .

07 de agosto de 2023

Adicionada uma nota em Baixar arquivos de instalação .
Adicionada uma nota em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .

23 de maio de 2023

Informações excluídas de Requisitos do servidor de banco de dados solicitando que um recurso seja ativado entrando em contato com a equipe da conta.
Informações atualizadas nos requisitos de conectividade externa e adicionadas ao Canadá à tabela de organizadores CI.
Adicionada uma nota em Expectativas para Implantar a segurança de dados híbridos em relação à indisponibilidade dos mecanismos para mover as chaves de volta para a nuvem.

06 de dezembro de 2022

As imagens da ferramenta de configuração HDS agora são hospedadas no repositório ciscocitg dockerhub.
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar os tópicos Configuração do nó para confirmar as alterações nos comandos.

23 de novembro de 2022

Os nós HDS agora podem usar a autenticação do Windows no Microsoft SQL Server.

Tópico Requisitos do servidor de banco de dados com requisitos adicionais para este modo de autenticação.

Atualizado Crie uma ISO de configuração para os hosts HDS com o procedimento para configurar a autenticação do Windows nos nós.
Atualizado o Requisitos do servidor de banco de dados tópico com novas versões mínimas necessárias (PostgreSQL 10).

13 de outubro de 2021

O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop .

24 de junho de 2021

Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes.

30 de abril de 2021

Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes.

24 de fevereiro de 2021

A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes.

2 de fevereiro de 2021

O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

11 de janeiro de 2021

Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS .

13 de outubro de 2020

08 de outubro de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP.

14 de agosto de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão.

05 de agosto de 2020

Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log.

Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores.

16 de junho de 2020

Atualizado Remova um nó para alterações na interface de usuário do Control Hub.

04 de junho de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir.

29 de maio de 2020

Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos.

05 de maio de 2020

Atualizado Requisitos do organizador virtual para mostrar o novo requisito do ESXi 6.5.

21 de abril de 2020

Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas.

1º de abril de 2020

Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais.

20 de fevereiro de 2020 Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS.

04 de fevereiro de 2020 Requisitos do servidor proxy atualizados.

16 de dezembro de 2019 Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy .

19 de novembro de 2019

Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções:

Suporte a proxy
Configurar o nó HDS para integração de proxy
Desligar o modo de resolução DNS externo bloqueado

8 de novembro de 2019

Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois.

Seções seguintes atualizadas em conformidade:

Fluxo de tarefas de implantação de segurança de dados híbridos
Instalar o OVA do organizador HDS
Configurar a VM de segurança de dados híbridos

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

6 de setembro de 2019

SQL Server Standard adicionado aos requisitos do servidor de banco de dados .

20 de agosto de 2019

Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex.

Suporte a proxy
Requisitos do servidor proxy
Configurar o nó HDS para integração de proxy

Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex .

13 de junho de 2019 Atualizado Teste para o fluxo de tarefas de produção com um lembrete para sincronizar o objeto HdsTrialGroup grupo antes de iniciar um teste se a sua organização usa a sincronização de diretórios.

6 de março de 2019

Requisitos modificados e pré-requisitos em um capítulo separado, Prepare seu ambiente .
Adicionada a visão geral do Fluxo de tarefa de implantação de segurança de dados híbridos no capítulo Configurar um grupo de segurança de dados híbridos .

Observe que até você iniciar um teste (usando as instruções no capítulo subsequente), seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
Adicionado o Teste para o fluxo de tarefa de produção no capítulo Execute um teste e mova para a produção .

28 de fevereiro de 2019

Corrigida a quantidade de espaço no disco rígido local por servidor que você deve reservar ao preparar os organizadores virtuais que se tornam os nós de Segurança de Dados Híbridos, de 50 GB a 20 GB, para refletir o tamanho do disco que o OVA cria.

26 de fevereiro de 2019

Os nós de Segurança de dados híbridos agora suportam conexões criptografadas com servidores de banco de dados PostgreSQL e conexões de registro criptografado com um servidor syslog compatível com TLS. Atualizado Crie uma ISO de configuração para os hosts HDS com instruções.
URLs de destino removidas da tabela "Requisitos de conectividade da Internet para VMs de nó de segurança de dados híbridos". A tabela agora refere-se à lista mantida na tabela "URLs adicionais para serviços híbridos do Webex Teams" de Requisitos de rede para serviços do Webex Teams .

24 de janeiro de 2019

5 de novembro de 2018

Adicionada uma etapa preliminar para limpar quaisquer instâncias existentes do docker hds em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .
Atualizada a etapa de nível de acesso principal em Criar uma ISO de configuração para os hosts HDS para corresponder à interface.

19 de outubro de 2018

Divida as informações de conexão do firewall nos requisitos do nó e nos requisitos da máquina de configuração ISO em Conclua os Pré-requisitos para a Segurança de dados híbridos .

31 de julho de 2018

Adicionada porta 22 (acesso SSH) e informações sobre conexões NAT e firewall para Conclua os pré-requisitos para a segurança de dados híbridos .

21 de maio de 2018

Terminologia alterada para refletir a reformulação de marca do Cisco Spark:

A segurança de dados híbridos Cisco Spark agora é a segurança de dados híbridos.
O aplicativo Cisco Spark agora é o aplicativo do aplicativo Webex.
A nuvem do Cisco Collaboraton agora é a nuvem Webex.

11 de abril de 2018

Adicionado Centro de dados de espera para recuperação de desastres .
Atualizado Conclua os pré-requisitos para a segurança de dados híbridos para especificar que o ambiente de backup deve estar em um centro de dados diferente.
Atualizado Recuperação de desastres usando o centro de dados de espera .

22 de fevereiro de 2018

Informações adicionadas sobre a senha da conta de serviço Duração de 9 meses e o uso da ferramenta Configuração do HDS para redefinir as senhas da conta de serviço, em Criar uma ISO de configuração para os organizadores HDS e Alterar a configuração do nó .

15 de fevereiro de 2018

Na tabela X.509 Requisitos de Certificado , especificado que o certificado não pode ser um certificado curinga e que o KMS usa o domínio CN, não qualquer domínio definido nos campos SAN x.509v3.

18 de janeiro de 2018

Anexo adicionado, Tráfego entre os nós HDS e a nuvem .
Removido um problema resolvido de Problemas conhecidos de segurança de dados híbridos .
index.docker.io alterado para *.docker.io e adicionado *.cloudfront.net à lista de requisitos de conectividade TCP para os nós HDS em Conclua os pré-requisitos de segurança de dados híbridos .
Atualizado Crie uma ISO de configuração para os hosts HDS para indicar que, se o host do banco de dados e o servidor Syslogd não forem solucionáveis por DNS dos nós HDS, você deverá configurá-los usando endereços IP.

2 de novembro de 2017

Sincronização de diretório esclarecida do HdsTrialGroup.
Instruções fixas para carregar o arquivo de configuração ISO para a montagem nos nós VM.

18 de agosto de 2017

Primeira publicação

Introdução à segurança de dados híbridos

Visão geral da segurança de dados híbridos

Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A base dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Colaboração com outras organizações

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:

Configurar a segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de segurança de dados híbridos, teste sua implantação com um subconjunto de usuários no modo de teste e, uma vez que seu teste esteja concluído, vá para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos —A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Modelo de implantação de segurança de dados híbridos

Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Oferecemos suporte a apenas um único grupo por organização.

Modo de teste de segurança de dados híbridos

Data center de espera para recuperação de desastres

Antes do failover, o Data Center A possui nós HDS ativos e o banco de dados PostgreSQL ou Microsoft SQL Server primário, enquanto B tem uma cópia do arquivo ISO com configurações adicionais, VMs que estão registradas na organização e um banco de dados em espera. Após o failover, o Data Center B possui nós HDS ativos e o banco de dados primário, enquanto A possui VMs não registradas e uma cópia do arquivo ISO, e o banco de dados está no modo de espera. — ***Failover manual para centro de dados de espera***

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Configuração do centro de dados de espera para recuperação de desastres

Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:

Antes de começar

O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas.

Depois de configurar o servidor Syslogd, clique em Configurações avançadas

 Modo passive: "verdadeiro"

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar Configurações > Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs.

O que fazer em seguida

Depois de configurar passiveMode no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem a configuração passiveMode e salvá-lo em um local seguro. Esta cópia do arquivo ISO sem passiveMode configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Nenhum proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy não inspecional transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy não inspecional. Não é necessária nenhuma atualização de certificado.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Proxy Protocol —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum —Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos de segurança de dados híbridos

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos:

Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de nome comum (CN) que identifica a implantação da Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com` . O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e todos os certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados pelo tipo de banco de dados

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, instalado e em execução.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado.

O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.

Proxy transparente — Cisco Web Security Appliance (WSA).

Proxy explícito — squid.

Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket (wss:). Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .

Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

Escolha um nome de domínio para a implantação do HDS (por exemplo, hds.company.com ) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em X.509 Requisitos de Certificado .

Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.)
Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados:
- o nome do organizador ou endereço IP (organizador) e a porta
- o nome do banco de dados (dbname) para armazenamento de chaves
- o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves

Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).

Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .

Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da web que pode acessá-lo em http://127.0.0.1:8080.

Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .

Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Se sua organização usar a sincronização de diretórios, crie um grupo no Active Directory chamado HdsTrialGroup e adicione usuários piloto. O grupo de teste pode ter até 250 usuários. O objeto HdsTrialGroup deve ser sincronizado com a nuvem antes que você possa iniciar um teste para sua organização. Para sincronizar um objeto de grupo, selecione-o no menu Configuração > Seleção de objeto do Conector de diretórios. (Para obter instruções detalhadas, consulte o Guia de implantação do Conector de diretórios da Cisco.)

Configurar um grupo de segurança de dados híbridos

Hybrid Data Security Deployment Task Flow

Antes de começar

Download Installation Files

Download the OVA file to your local machine for later use.

Create a Configuration ISO for the HDS Hosts

Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

Install the HDS Host OVA

Create a virtual machine from the OVA file and perform initial configuration, such as network settings.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Set up the Hybrid Data Security VM

Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

Upload and Mount the HDS Configuration ISO

Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

Create and Register More Nodes

If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

Complete the cluster setup.

Run a Trial and Move to Production (next chapter)

Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

Download Installation Files

In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.

In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.

You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.

Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

Select No to indicate that you haven’t set up the node yet, and then click Next.

The OVA file automatically begins to download. Save the file to a location on your machine.

Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

Create a Configuration ISO for the HDS Hosts

The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.

If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
- Database credentials
- Certificate updates
- Changes to authorization policy
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

Para se inscrever no registro de imagem do Docker, insira o seguinte:

docker login -u hdscustomersro

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In regular environments with an HTTPS proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

On the Setup Tool overview page, click Get Started.

On the ISO Import page, you have these options:

No—If you’re creating your first HDS node, you don't have an ISO file to upload.
Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.

Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
If your certificate is OK, click Continue.
If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.

Enter the database address and account for HDS to access your key datastore:

Select your Database Type (PostgreSQL or Microsoft SQL Server).

If you choose Microsoft SQL Server, you get an Authentication Type field.
(Microsoft SQL Server only) Select your Authentication Type:
- Basic Authentication: You need a local SQL Server account name in the Username field.
- Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.
Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

Exemplo:
dbhost.example.org:1433 or 198.51.100.17:1433

You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433
Enter the Database Name.
Enter the Username and Password of a user with all privileges on the key storage database.

Select a TLS Database Connection Mode:

Mode

Descrição

Prefer TLS (default option)

Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. If you enable TLS on the database server, the nodes attempt an encrypted connection.

Exigir TLS

Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.

Exigir TLS e verificar o signer de certificado

This mode isn’t applicable for SQL Server databases.

Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Se elas não corresponderem, o nó cai na conexão.

Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Exigir TLS e verificar o signer de certificado e o nome do host

Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Se elas não corresponderem, o nó cai na conexão.
The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Os nomes devem corresponder exatamente ou o nó cai na conexão.

Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

On the System Logs page, configure your Syslogd server:

Enter the syslog server URL.

If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

Exemplo:
udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.
From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP
- Null byte -- \x00
- Newline -- \n—Select this choice for Graylog and Rsyslog TCP.
Clique em Continuar.

(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

app_datasource_connection_pool_maxTamanho: 10

Click Continue on the Reset Service Accounts Password screen.

Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

Click Download ISO File. Save the file in a location that's easy to find.

Make a backup copy of the ISO file on your local system.

Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.

We never have a copy of this key and can't help if you lose it.

Install the HDS Host OVA

Use this procedure to create a virtual machine from the OVA file.

Use the VMware vSphere client on your computer to log into the ESXi virtual host.

Select File > Deploy OVF Template.

In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

On the Select a compute resource page, choose the destination compute resource, and then click Next.

A validation check runs. After it finishes, the template details appear.

Verify the template details and then click Next.

If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

On the Select storage page, click Next to accept the default disk format and VM storage policy.

On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

On the Customize template page, configure the following network settings:

Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. A capitalização não é suportada no momento.
The total length of the FQDN must not exceed 64 characters.

IP Address— Enter the IP address for the internal interface of the node.

Your node should have an internal IP address and DNS name. DHCP is not supported.
Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.

Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Right-click the node VM, and then choose Power > Power On.

The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

Dicas de solução de problemas

You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

Set up the Hybrid Data Security VM

Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

1	In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
2	Use the following default login and password to sign in and change the credentials: Login: `admin` Senha: `Cisco` Since you are signing in to your VM for the first time, you are required to change the administrator password.
3	If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.
4	Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.
5	(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
6	Save the network configuration and reboot the VM so that the changes take effect.

Upload and Mount the HDS Configuration ISO

Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

Antes de começar

Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

Upload the ISO file from your computer:

In the VMware vSphere client's left navigation pane, click on the ESXi server.
On the Configuration tab's Hardware list, click Storage.
In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.
Click on the Upload Files icon, and then click Upload File.
Browse to the location where you downloaded the ISO file on your computer and click Open.
Click Yes to accept the upload/download operation warning, and close the datastore dialog.

Mount the ISO file:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Click OK to accept the restricted edit options warning.
Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.
Check Connected and Connect at power on.
Save your changes and reboot the virtual machine.

O que fazer em seguida

If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

See Proxy Support for an overview of the supported proxy options.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: No Proxy—The default option before you integrate a proxy. Não é necessária nenhuma atualização de certificado. Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Não é necessária nenhuma atualização de certificado. Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Depois de escolher essa opção, você deve inserir as seguintes informações: Proxy IP/FQDN—Address that can be used to reach the proxy machine. Proxy Port—A port number that the proxy uses to listen for proxied traffic. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Escolha uma opção baseada no que seu servidor proxy suporta. Authentication Type—Choose from among the following authentication types: None—No further authentication is required. Disponível para proxies HTTP ou HTTPS. Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Digest—Used to confirm the account before sending sensitive information. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Register the First Node in the Cluster

This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

Antes de começar

Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	From the menu on the left side of the screen, select Services.
3	In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
4	Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.
5	In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"
6	In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
7	Click Go to Node.
8	Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
9	Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
10	Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

Create and Register More Nodes

To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

Antes de começar

Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.
2	Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.
3	On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.
4	If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.
5	Register the node. In https://admin.webex.com, select Services from the menu on the left side of the screen. In the Hybrid Services section, find the Hybrid Data Security card and click Resources. The Hybrid Data Security Resources page appears. Click Add Resource. In the first field, select the name of your existing cluster. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. A message appears indicating you can register your node to the Webex cloud. Click Go to Node. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

O que fazer em seguida

Run a Trial and Move to Production (next chapter)

Executar um teste e mover para a produção

Trial to Production Task Flow

After you set up a Hybrid Data Security cluster, you can start a pilot, add users to it, and begin using it for testing and verifying your deployment in preparation for moving to production.

Antes de começar

Set up a Hybrid Data Security Cluster

1	If applicable, synchronize the `HdsTrialGroup` group object. If your organization uses directory synchronization for users, you must select the `HdsTrialGroup` group object for synchronization to the cloud before you can start a trial. For instructions, see the Deployment Guide for Cisco Directory Connector.
2	Activate Trial Start a trial. Until you do this task, your nodes generate an alarm indicating that the service is not yet activated.
3	Test Your Hybrid Data Security Deployment Check that key requests are passing to your Hybrid Data Security deployment.
4	Monitor Hybrid Data Security Health Check status, and set up email notifications for alarms.
5	Add or Remove Users from Your Trial
6	Complete the trial phase with one of the following actions: Move from Trial to Production End Your Trial Without Moving to Production

Activate Trial

Antes de começar

If your organization uses directory synchronization for users, you must select the HdsTrialGroup group object for synchronization to the cloud before you can start a trial for your organization. For instructions, see the Deployment Guide for Cisco Directory Connector.

1	Sign in to https://admin.webex.com, and then select Services.
2	Under Hybrid Data Security, click Settings.
3	In the Service Status section, click Start Trial. The service status changes to trial mode.
4	Click Add Users and enter the email address of one or more users to pilot using your Hybrid Data Security nodes for encryption and indexing services. (If your organization uses directory synchronization, use Active Directory to manage the trial group, `HdsTrialGroup`.)

Test Your Hybrid Data Security Deployment

Use this procedure to test Hybrid Data Security encryption scenarios.

Antes de começar

Set up your Hybrid Data Security deployment.
Activate the trial, and add several trial users.
Ensure that you have access to the syslog to verify that key requests are passing to your Hybrid Data Security deployment.

Keys for a given space are set by the creator of the space. Sign in to the Webex App as one of the pilot users, and then create a space and invite at least one pilot user and one non-pilot user.

If you deactivate the Hybrid Data Security deployment, content in spaces that pilot users create is no longer accessible once the client-cached copies of the encryption keys are replaced.

Send messages to the new space.

Check the syslog output to verify that the key requests are passing to your Hybrid Data Security deployment.

To check for a user first establishing a secure channel to the KMS, filter on kms.data.method=create and kms.data.type=EPHEMERAL_KEY_COLLECTION:

You should find an entry such as the following (identifiers shortened for readability):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

To check for a user requesting an existing key from the KMS, filter on kms.data.method=retrieve and kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

To check for a user requesting the creation of a new KMS key, filter on kms.data.method=create and kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

To check for a user requesting the creation of a new KMS Resource Object (KRO) when a space or other protected resource is created, filter on kms.data.method=create and kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] received, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitor Hybrid Data Security Health

A status indicator within Control Hub shows you whether all is well with the Hybrid Data Security deployment. For more proactive alerting, sign up for email notifications. You'll be notified when there are service-impacting alarms or software upgrades.

1	In Control Hub, select Services from the menu on the left side of the screen.
2	In the Hybrid Services section, find Hybrid Data Security and click Settings. The Hybrid Data Security Settings page appears.
3	In the Email Notifications section, type one or more email addresses separated by commas, and press Enter.

Add or Remove Users from Your Trial

After you've activated a trial and added the initial set of trial users, you can add or remove trial members at any time while the trial is active.

If you remove a user from the trial, the user's client will request keys and key creation from the cloud KMS instead of your KMS. If the client needs a key that is stored on your KMS, the cloud KMS will fetch it on the user's behalf.

If your organization uses directory synchronization, use Active Directory (instead of this procedure) to manage the trial group, HdsTrialGroup; you can view the group members in Control Hub but cannot add or remove them.

1	Sign in to Control Hub, and then select Services.
2	Under Hybrid Data Security, click Settings.
3	In the Trial Mode section of the Service Status area, click Add Users, or click view and edit to remove users from the trial.
4	Enter the email address of one or more users to add, or click the X by a user ID to remove the user from the trial. Em seguida, clique em Salvar.

Move from Trial to Production

When you are satisfied that your deployment is working well for the trial users, you can move to production. When you move to production, all users in the organization will use your on-premises Hybrid Data Security domain for encryption keys and other security realm services. You cannot move back to trial mode from production unless you deactivate the service as part of disaster recovery. Reactivating the service requires you to set up a new trial.

1	Sign in to Control Hub, and then select Services.
2	Under Hybrid Data Security, click Settings.
3	In the Service Status section, click Move to Production.
4	Confirm that you want to move all of your users to production.

End Your Trial Without Moving to Production

If, during your trial, you decide not to go ahead with your Hybrid Data Security deployment, you can deactivate Hybrid Data Security, which ends the trial and moves the trial users back to the cloud data security services. The trial users will lose access to the data that was encrypted during the trial.

1	Sign in to Control Hub, and then select Services.
2	Under Hybrid Data Security, click Settings.
3	In the Deactivate section, click Deactivate.
4	Confirm that you want to deactivate the service and end the trial.

Gerenciar sua implantação HDS

Gerenciar implantação HDS

Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.

Definir agenda de atualização do grupo

Para definir a agenda de atualização:

1	Inicie sessão no Control Hub.
2	Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos .
3	Na página Recursos de segurança de dados híbridos, selecione o grupo.
4	No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo.
5	Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.

Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.

Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave —As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA`
Proxy HTTP com autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS.

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp: estável

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

Para se inscrever no registro de imagem do Docker, insira o seguinte:
```
docker login -u hdscustomersro
```
No prompt de senha, digite este hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker pull ciscocitg/hds-setup: estável

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp: estável

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um HTTPSproxy:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080".

Use um navegador para se conectar ao anfitrião local, http://127.0.0.1:8080.

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Quando solicitado, insira as credenciais de início de sessão do cliente do Control Hub e clique em Aceitar para continuar.
Importe o arquivo ISO de configuração atual.
Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado.

Para encerrar a ferramenta de Configuração, digite CTRL+C.
Crie uma cópia de backup do arquivo atualizado em outro centro de dados.

Se você tiver apenas um nó HDS em execução , crie um novo nó VM de segurança de dados híbridos e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós .

Instale o OVA do host HDS.
Configure a VM do HDS.
Monte o arquivo de configuração atualizado.
Registre o novo nó no Control Hub.

Desligue a máquina virtual.
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração.
Marque Conectar ao ligar.
Salve suas alterações e ligue a máquina virtual.

Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

Remova o nó:

Inicie sessão no Control Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página Recursos de segurança de dados híbridos.
Selecione o grupo para exibir o painel de Visão geral.
Clique em Abrir lista de nós .
Na guia Nós, selecione o nó que deseja remover.
Clique em Ações > Cancelar registro do nó .

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Centro de dados de espera

O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

Depois de configurar o servidor Syslogd, clique em Configurações avançadas

Na página Configurações avançadas , adicione a configuração abaixo ou remova a configuração do passiveMode para tornar o nó ativo. O nó poderá lidar com o tráfego quando isso for configurado.

 Modo passive: "falso"

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar Configurações > Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique a saída do syslog para verificar se os nós do centro de dados em espera não estão no modo passivo. "KMS configurado no modo passivo" não deve aparecer no syslogs.

O que fazer em seguida

(Opcional) Desmontar ISO após a configuração HDS

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um de seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Escolha Editar Configurações > Unidade de CD/DVD e desmarque Arquivo ISO do armazenamento de dados .
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por sua vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.

Alertas

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros do banco de dados ou problemas de rede local.
Falha na conexão de banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa .
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento.
Registro do serviço em nuvem removido.	Registro nos serviços em nuvem encerrado. O serviço está sendo desligado.
Serviço ainda não ativado.	Ative um teste ou termine de mover o teste para a produção.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação para serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo de keystore local.	Verifique a integridade e a precisão da senha no arquivo de keystore local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível postar métricas.	Verifique o acesso à rede local para serviços externos em nuvem.
/media/configdrive/hds directory não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá.
2	Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos.
3	Entre em contato com o suporte da Cisco .

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.

O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).

Use o OpenSSL para gerar um arquivo PKCS12

Antes de começar

OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).

1	Ao receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem` .
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificado chamado `hdsnode-bundle.pem` . O arquivo em lote deve incluir o certificado do servidor, todos os certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO----- ### Certificado do servidor. ### -----FINALIZAR CERTIFICADO--------INICIAR CERTIFICADO------ ### Certificado CA intermediário. ### -----FINALIZAR CERTIFICADO--------INICIAR CERTIFICADO------ ### Certificado CA raiz. ### -----FINALIZAR CERTIFICADO-----`
4	Crie o arquivo .p12 com o nome `kms-private-key` . `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no aviso para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key` . Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Digite Importar senha: MAC verificado OK Bag Atributos friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 37 32 35 30 39 33 31 34 Principais atributos: Insira a senha PEM: Verificando - Insira a senha do PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- -----FINALIZAR CHAVE PRIVADA CRIPTOGRAFADA------ Bag Atributos friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 37 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----INICIAR CERTIFICADO----- -----FINALIZAR CERTIFICADO------Sacola Atributos friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----INICIAR CERTIFICADO----- -----END CERTIFICATE-----

O que fazer em seguida

Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os Hosts HDS .

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Tráfego De Entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket ( wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva para squid.conf :

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercúrio-conexão ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Prefácio

Informações novas e alteradas

Data

Alterações Feitas

20 de outubro de 2023

Informações atualizadas nos requisitos do servidor de banco de dados .
Adicionado Configurar centro de dados de espera para recuperação de desastres .
Informações atualizadas no Centro de dados de espera para recuperação de desastres e Recuperação de desastres usando o Centro de dados de espera .

07 de agosto de 2023

Adicionada uma nota em Baixar arquivos de instalação .
Adicionada uma nota em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .

23 de maio de 2023

Informações excluídas de Requisitos do servidor de banco de dados solicitando que um recurso seja ativado entrando em contato com a equipe da conta.
Informações atualizadas nos requisitos de conectividade externa e adicionadas ao Canadá à tabela de organizadores CI.
Adicionada uma nota em Expectativas para Implantar a segurança de dados híbridos em relação à indisponibilidade dos mecanismos para mover as chaves de volta para a nuvem.

06 de dezembro de 2022

As imagens da Ferramenta de configuração HDS agora estão hospedadas no ciscocitg Repositório dockerhub.
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar os tópicos Configuração do nó para confirmar as alterações nos comandos.

23 de novembro de 2022

Os nós HDS agora podem usar a autenticação do Windows no Microsoft SQL Server.

Tópico Requisitos do servidor de banco de dados com requisitos adicionais para este modo de autenticação.

Atualizado Criar uma ISO de configuração para os hosts HDS com o procedimento para configurar a autenticação do Windows nos nós.
Atualizado o Requisitos do servidor de banco de dados tópico com novas versões mínimas necessárias (PostgreSQL 10).

13 de outubro de 2021

O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop .

24 de junho de 2021

Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes.

30 de abril de 2021

Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes.

24 de fevereiro de 2021

A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes.

2 de fevereiro de 2021

O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

11 de janeiro de 2021

Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS .

13 de outubro de 2020

08 de outubro de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP.

14 de agosto de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão.

05 de agosto de 2020

Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log.

Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores.

16 de junho de 2020

Atualizado Remova um nó para alterações na interface de usuário do Control Hub.

04 de junho de 2020

Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir.

29 de maio de 2020

Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos.

05 de maio de 2020

Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5.

21 de abril de 2020

Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas.

1º de abril de 2020

Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais.

20 de fevereiro de 2020 Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS.

04 de fevereiro de 2020 Requisitos do servidor proxy atualizados.

16 de dezembro de 2019 Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy .

19 de novembro de 2019

Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções:

Suporte ao proxy
Configurar o nó HDS para integração de proxy
Desativar modo de resolução DNS externo bloqueado

8 de novembro de 2019

Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois.

Seções seguintes atualizadas em conformidade:

Fluxo de tarefas de implantação de segurança de dados híbridos
Instalar o OVA do organizador HDS
Configurar a VM de segurança de dados híbridos

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

6 de setembro de 2019

SQL Server Standard adicionado aos requisitos do servidor de banco de dados .

20 de agosto de 2019

Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex.

Suporte ao proxy
Requisitos do servidor proxy
Configurar o nó HDS para integração de proxy

Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex .

6 de março de 2019

Requisitos modificados e pré-requisitos em um capítulo separado, Prepare seu ambiente .
Adicionada a visão geral do Fluxo de tarefa de implantação de segurança de dados híbridos no capítulo Configurar um grupo de segurança de dados híbridos .

Observe que até você iniciar um teste (usando as instruções no capítulo subsequente), seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
Adicionado o Teste para o fluxo de tarefa de produção no capítulo Execute um teste e mova para a produção .

28 de fevereiro de 2019

Corrigida a quantidade de espaço no disco rígido local por servidor que você deve reservar ao preparar os organizadores virtuais que se tornam os nós de Segurança de Dados Híbridos, de 50 GB a 20 GB, para refletir o tamanho do disco que o OVA cria.

26 de fevereiro de 2019

Os nós de Segurança de dados híbridos agora suportam conexões criptografadas com servidores de banco de dados PostgreSQL e conexões de registro criptografado com um servidor syslog compatível com TLS. Atualizado Crie uma ISO de configuração para os hosts HDS com instruções.
URLs de destino removidas da tabela "Requisitos de conectividade da Internet para VMs de nó de segurança de dados híbridos". A tabela agora refere-se à lista mantida na tabela "URLs adicionais para serviços híbridos do Webex Teams" de Requisitos de rede para serviços do Webex Teams .

24 de janeiro de 2019

5 de novembro de 2018

Adicionada uma etapa preliminar para limpar quaisquer instâncias existentes do docker hds em Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó .
Atualizada a etapa de nível de acesso principal em Criar uma ISO de configuração para os hosts HDS para corresponder à interface.

19 de outubro de 2018

Divida as informações de conexão do firewall nos requisitos do nó e nos requisitos da máquina de configuração ISO em Conclua os Pré-requisitos para a Segurança de dados híbridos .

31 de julho de 2018

Adicionada porta 22 (acesso SSH) e informações sobre conexões NAT e firewall para Conclua os pré-requisitos para a segurança de dados híbridos .

21 de maio de 2018

Terminologia alterada para refletir a reformulação de marca do Cisco Spark:

A segurança de dados híbridos Cisco Spark agora é a segurança de dados híbridos.
O aplicativo Cisco Spark agora é o aplicativo do aplicativo Webex.
A nuvem do Cisco Collaboraton agora é a nuvem Webex.

11 de abril de 2018

Adicionado Centro de dados de espera para recuperação de desastres .
Atualizado Conclua os pré-requisitos para a segurança de dados híbridos para especificar que o ambiente de backup deve estar em um centro de dados diferente.
Atualizado Recuperação de desastres usando o centro de dados de espera .

22 de fevereiro de 2018

Informações adicionadas sobre a senha da conta de serviço Duração de 9 meses e o uso da ferramenta Configuração do HDS para redefinir as senhas da conta de serviço, em Criar uma ISO de configuração para os organizadores HDS e Alterar a configuração do nó .

15 de fevereiro de 2018

Na tabela X.509 Requisitos de Certificado , especificado que o certificado não pode ser um certificado curinga e que o KMS usa o domínio CN, não qualquer domínio definido nos campos SAN x.509v3.

18 de janeiro de 2018

Anexo adicionado, Tráfego entre os nós HDS e a nuvem .
Removido um problema resolvido de Problemas conhecidos de segurança de dados híbridos .
index.docker.io alterado para *.docker.io e adicionado *.cloudfront.net à lista de requisitos de conectividade TCP para os nós HDS em Conclua os pré-requisitos de segurança de dados híbridos .
Atualizado Crie uma ISO de configuração para os hosts HDS para indicar que, se o host do banco de dados e o servidor Syslogd não forem solucionáveis por DNS dos nós HDS, você deverá configurá-los usando endereços IP.

2 de novembro de 2017

Sincronização de diretório esclarecida do HdsTrialGroup.
Instruções fixas para carregar o arquivo de configuração ISO para a montagem nos nós VM.

18 de agosto de 2017

Primeira publicação

Introdução à segurança de dados híbridos

Visão geral da segurança de dados híbridos

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o data center da sua empresa, para que ninguém além de você mantenha as chaves do seu conteúdo criptografado.

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Colaboração com outras organizações

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:

Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Modelo de implantação de segurança de dados híbridos

Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Oferecemos suporte a apenas um único grupo por organização.

Modo de teste de segurança de dados híbridos

Data center de espera para recuperação de desastres

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Configuração do centro de dados de espera para recuperação de desastres

Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:

Antes de você começar

O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.

Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .

O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas.

Depois de configurar o servidor Syslogd, clique em Configurações avançadas


passiveMode: 'true'

Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações..

Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.

Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.

Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.

Repita o processo para cada nó no centro de dados em espera.

Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs.

O que fazer em seguida

Suporte ao proxy

Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — Visualiza e controla todas as solicitações que o cliente envia.
  - HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum —Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível apenas se você selecionar HTTPS como o protocolo proxy.
    
    Requer que você insira o nome de usuário e a senha em cada nó.

Exemplo de nós e proxy de segurança de dados híbridos

Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)

Preparar seu ambiente

Requisitos de segurança de dados híbridos

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos:

Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " Docker está atualizando e estendendo nossas assinaturas de produtos ".

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de Nome Comum (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, instalado e em execução.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado.

O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com

Requisitos do servidor proxy

Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.

Proxy transparente — Cisco Web Security Appliance (WSA).

Proxy explícito — Squid.

Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
- Nenhuma autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir nas conexões do web socket. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.)
Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados:
- o nome do organizador ou endereço IP (organizador) e a porta
- o nome do banco de dados (dbname) para armazenamento de chaves
- o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves

Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).

Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .

Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .

Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Configurar um grupo de segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

Criar uma ISO de configuração para os organizadores HDS

Baixe o arquivo OVA em sua máquina local para uso posterior.

Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.

Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA.

Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.

Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.

Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos.

Conclua a configuração do grupo.

Executar um teste e mover para a produção (próximo capítulo)

Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

Baixar arquivos de instalação

Inicie sessão em https://admin.webex.com e clique em Services .

Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar .

Selecione No para indicar que você ainda não configurou o nó e clique em Next .

O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.

Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

Antes de você começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com todos os direitos de administrador para sua organização.

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

Na linha de comando da sua máquina, insira o comando apropriado para seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Essa etapa limpa as imagens anteriores da ferramenta de configuração HDS. Se não houver imagens anteriores, ele retorna um erro que você pode ignorar.

Para iniciar sessão no registro de imagem do Docker, insira o seguinte:

docker login -u hdscustomersro

No prompt de senha, insira este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Baixe a imagem estável mais recente para seu ambiente:

Em ambientes regulares:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Quando a opção for concluída, insira o comando apropriado para seu ambiente:

Em ambientes regulares sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner estiver em execução, você verá "Servidor Express ouvindo na porta 8080".

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para ir até o host local, http://127.0.0.1:8080 e insira o nome de usuário do administrador do cliente no Control Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.

Na página Visão geral da ferramenta de configuração, clique em Introdução .

Na página ISO Import , você tem estas opções:

Não —Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim —Se você já criou nós HDS, selecione o arquivo ISO na navegação e carregue-o.

Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar .
Se o seu certificado estiver OK, clique em Continuar .
Se o certificado tiver expirado ou você quiser substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar .

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal:

Selecione seu Tipo de banco de dados ( PostgreSQL ou Microsoft SQL Server ).

Se você escolher Microsoft SQL Server , você terá um campo de tipo de autenticação.
( Microsoft SQL Server apenas) Selecione seu Tipo de autenticação :
- Autenticação básica : Você precisa de um nome de conta local do SQL Server no campo Username .
- Autenticação do Windows : Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor de banco de dados no formulário <hostname>:<port> ou <IP-address>:<port>.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando autenticação do Windows, deverá inserir um Nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados .
Insira o Nome de usuário e Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

Selecione um modo de conexão do banco de dados TLS :

Mode

Descrição

Preferir TLS (opção padrão)

Os nós HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.

Exigir TLS

Os nós HDS se conectam apenas se o servidor de banco de dados puder negociar o TLS.

Exigir TLS e verificar o assinante do certificado

Esse modo não é aplicável a bancos de dados do SQL Server.

Os nós HDS se conectam apenas se o servidor de banco de dados puder negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó perderá a conexão.

Use o Certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Exigir TLS e verificar o assinante e o nome do organizador do certificado

Os nós HDS se conectam apenas se o servidor de banco de dados puder negociar o TLS.
Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se eles não corresponderem, o nó perderá a conexão.
Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Database host e porta . Os nomes devem coincidir exatamente ou o nó desconectará a conexão.

Use o Certificado raiz do banco de dados controle abaixo do menu suspenso para carregar o certificado raiz para esta opção.

Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do organizador, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.)

Na página Registros do sistema, configure seu servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós do grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o registro no host syslogd 10.92.43.23 na porta UDP 514.
Se você configurar o servidor para usar a criptografia TLS, verifique O servidor syslog está configurado para criptografia SSL?.

Se você marcar essa caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação do registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher ou Newline é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Newline -- \n —Selecione esta opção para Graylog e Rsyslog TCP.
Clique em Continuar.

app_datasource_connection_pool_maxSize: 10

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores.

Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar.

Faça uma cópia de backup do arquivo ISO em seu sistema local.

Para desligar a ferramenta de configuração, digite CTRL+C.

O que fazer em seguida

Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.

Selecione File > Implantar modelo OVF .

No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ...

No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ...

Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.

Verifique os detalhes do modelo e clique em Próximo .

Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ...

No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM.

No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.

Na página Personalizar modelo , defina as seguintes configurações de rede:

Nome do host —Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó.

Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do organizador definido para o nó. O uso de maiúsculas não é suportado no momento.
O comprimento total do FQDN não deve exceder 64 caracteres.

Endereço IP — Insira o endereço IP para a interface interna do nó.

Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
Máscara —Insira o endereço da máscara de sub-rede na notação decimal por ponto. Por exemplo, 255.255.255.0 .
Gateway —Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como um ponto de acesso para outra rede.
Servidores DNS —Insira uma lista de servidores DNS separados por vírgulas, que lidam com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.)
Servidores NTP —Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP.

Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós em um cluster sejam acessíveis a partir de clientes em sua rede para fins administrativos.

Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.

A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.

Clique com o botão direito do mouse no VM do nó e selecione Power > Power On .

O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó.

Dicas de solução de problemas

Configurar a VM de segurança de dados híbridos

1	No cliente VMware vSphere, selecione a VM do nó de segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `cisco` Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador.
3	Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar o ISO de configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de você começar

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Storage .
Na lista Datastores, clique com o botão direito do mouse no datastore para suas VMs e clique em Procurar Datastore .
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo .
Navegue até o local onde você baixou o arquivo ISO em seu computador e clique em Abrir .
Clique em Sim para aceitar o aviso de operação de carregamento/download e fechar a caixa de diálogo do armazenamento de dados.

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique CD/DVD Drive 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar .
Salve as alterações e reinicie a máquina virtual.

O que fazer em seguida

Configurar o nó HDS para integração de proxy

Antes de você começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para Trust Store e Proxy e escolha uma opção: Nenhum proxy —A opção padrão antes de integrar um proxy. Nenhuma atualização do certificado é necessária. Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária. Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração na configuração HTTPS é necessária na implantação de Segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS). Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher esta opção, você deve inserir as seguintes informações: IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção com base no que seu servidor proxy suporta. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação: Nenhum —Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher essa opção, também deverá inserir o nome de usuário e a senha. Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo.
4	Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .
5	Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor.
6	Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos.
7	Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no grupo

Essa tarefa utiliza o nó genérico que você criou na Configurar a VM de segurança de dados híbridos , registra o nó com a nuvem Webex e o transforma em um nó de segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
4	Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo .
5	No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó .
8	Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
9	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
10	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de você começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS .
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos .
3	Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS .
4	Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Resources . A página Recursos de segurança de dados híbridos é exibida. Clique em Adicionar recurso . No primeiro campo, selecione o nome do grupo existente. No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Uma mensagem é exibida indicando que você pode registrar seu nó na nuvem Webex. Clique em Ir para o nó . Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja dar permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.

O que fazer em seguida

Executar um teste e mover para a produção (próximo capítulo)

Executar um teste e mover para a produção

Teste para o fluxo de tarefas de produção

Antes de você começar