- Página inicial
- /
- Artigo
Guia de implantação para a segurança de dados híbridos Webex
Informações novas e alteradas
Data | Alterações Feitas | ||
---|---|---|---|
20 de outubro de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de maio de 2023 |
| ||
06 de dezembro de 2022 |
| ||
23 de novembro de 2022 |
| ||
13 de outubro de 2021 | O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . | ||
24 de junho de 2021 | Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. | ||
30 de abril de 2021 | Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. | ||
24 de fevereiro de 2021 | A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. | ||
2 de fevereiro de 2021 | O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. | ||
11 de janeiro de 2021 | Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . | ||
13 de outubro de 2020 | Atualizado Baixar arquivos de instalação . | ||
08 de outubro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. | ||
14 de agosto de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. | ||
05 de agosto de 2020 | Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. | ||
16 de junho de 2020 | Atualizado Remova um nó para alterações na interface de usuário do Control Hub. | ||
04 de junho de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. | ||
29 de maio de 2020 | Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. | ||
05 de maio de 2020 | Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5. | ||
21 de abril de 2020 | Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. | ||
1º de abril de 2020 | Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. | ||
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. | ||
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. | ||
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . | ||
19 de novembro de 2019 | Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: | ||
8 de novembro de 2019 | Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade:
| ||
06 de setembro de 2019 | SQL Server Standard adicionado aos requisitos do servidor de banco de dados . | ||
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. | ||
20 de agosto de 2019 | Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . | ||
13 de junho de 2019 | Teste atualizado para o fluxo de tarefas de produção com um lembrete para sincronizar o HdsTrialGroup objeto de grupo antes de iniciar um teste se sua organização usar a sincronização de diretórios. | ||
6 de março de 2019 |
| ||
28 de fevereiro de 2019 |
| ||
26 de fevereiro de 2019 |
| ||
24 de janeiro de 2019 |
| ||
5 de novembro de 2018 |
| ||
19 de outubro de 2018 |
| ||
31 de julho de 2018 |
| ||
21 de maio de 2018 | Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de fevereiro de 2018 |
| ||
15 de fevereiro de 2018 |
| ||
18 de janeiro de 2018 |
| ||
2 de novembro de 2017 |
| ||
18 de agosto de 2017 | Primeira publicação |
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes de aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos transfere o KMS e outras funções relacionadas à segurança para o centro de dados corporativos , para que ninguém além de você tenha as chaves do seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS. |
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo. |
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de você começar
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
| ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
Após a configuração passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem o passiveMode
configuração e salve-a em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte de proxy
A Segurança de dados híbridos oferece suporte a proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à sua implantação para que possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e verificar o status geral de conectividade depois de configurar o proxy nos nós.
Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:
Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
HTTP — Visualiza e controla todas as solicitações que o cliente envia.
HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
Nenhum — nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível apenas se você selecionar HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Exemplo de nós e proxy de segurança de dados híbridos
Este diagrama mostra uma conexão de exemplo entre a Segurança de dados híbridos, rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita HTTPS, o mesmo certificado raiz deve ser instalado no proxy e nos nós de Segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele entrará automaticamente no modo de Resolução DNS externa bloqueada. Nesse modo, o registro do nó e outros testes de conectividade de proxy podem continuar.
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a postagem do blog do Docker, " O Docker está atualizando e ampliando nossas assinaturas de produtos ".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito | Detalhes |
---|---|
| Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
| O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
| O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
| Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados. |
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) | Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 | Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo | Protocolo | Porta | Direção do aplicativo | Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos | TCP | 443 | HTTPS de saída e WSS |
|
Ferramenta de configuração HDS | TCP | 443 | HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos. |
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região | URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.
Proxy transparente — Cisco Web Security Appliance (WSA).
Proxy explícito — Squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
Nenhuma autenticação com HTTP ou HTTPS
Autenticação básica com HTTP ou HTTPS
Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para
wbx2.com
eciscospark.com
resolverá o problema.
Conclua os pré-requisitos para a segurança de dados híbridos
1 | Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. | ||
2 | Escolha um nome de domínio para sua implantação HDS (por exemplo, | ||
3 | Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . | ||
4 | Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. | ||
5 | Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. | ||
6 | Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). | ||
7 | Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.
Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. | ||
8 | Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . | ||
9 | Instale o Docker ( https://www.docker.com) em qualquer máquina local que execute um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da Web que possa acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . | ||
10 | Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . | ||
11 | Se sua organização usa sincronização de diretórios, crie um grupo no Active Directory chamado
|
Fluxo de tarefas de implantação de segurança de dados híbridos
Antes de você começar
1 |
Baixe o arquivo OVA em sua máquina local para uso posterior. | ||
2 | Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos. | ||
3 | Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.
| ||
4 | Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA. | ||
5 | Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS. | ||
6 | Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário. | ||
7 | Registrar o primeiro nó no grupo Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos. | ||
8 |
Conclua a configuração do grupo. | ||
9 | Executar um teste e mover para a produção (próximo capítulo) Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
Baixar arquivos de instalação
1 | Inicie sessão em https://admin.webex.com e clique em Services . | ||||
2 | Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar . Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização.
| ||||
3 | Selecione No para indicar que você ainda não configurou o nó e clique em Next . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
| ||||
4 | Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível. |
Criar uma ISO de configuração para os organizadores HDS
O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
Credenciais do banco de dados
Atualizações do certificado
Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.
1 | Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
2 | Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
| ||||||||||||
3 | No aviso de senha, digite o seguinte hash:
| ||||||||||||
4 | Baixe a imagem estável mais recente para seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
5 | Quando o pull for concluído, digite o comando apropriado para seu ambiente:
Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080." | ||||||||||||
6 |
Use um navegador da Web para ir até o host local, A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão. | ||||||||||||
7 | Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos. | ||||||||||||
8 | Na página Visão geral da ferramenta de configuração, clique em Introdução . | ||||||||||||
9 | Na página ISO Import , você tem estas opções:
| ||||||||||||
10 | Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .
| ||||||||||||
11 | Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal: | ||||||||||||
12 | Selecione um modo de conexão do banco de dados TLS :
Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.) | ||||||||||||
13 | Na página Registros do sistema, configure seu servidor Syslogd: | ||||||||||||
14 | (Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:
| ||||||||||||
15 | Clique em Continuar na tela Redefinir senha das contas de serviço . As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores. | ||||||||||||
16 | Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar. | ||||||||||||
17 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||||||||||||
18 | Para desligar a ferramenta de Configuração, digite |
O que fazer em seguida
Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.
Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la. |
Instalar o OVA do organizador HDS
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi. | ||||||
2 | Selecione File > Implantar modelo OVF . | ||||||
3 | No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ... | ||||||
4 | No Selecione um nome e uma pasta página, insira uma Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual possa residir e clique em Próximo ... | ||||||
5 | No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ... Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos. | ||||||
6 | Verifique os detalhes do modelo e clique em Próximo . | ||||||
7 | Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ... | ||||||
8 | No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM. | ||||||
9 | No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM. | ||||||
10 | Na página Personalizar modelo , defina as seguintes configurações de rede:
Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.
| ||||||
11 | Clique com o botão direito do mouse no VM do nó e selecione .O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão. |
Configurar a VM de segurança de dados híbridos
Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.
1 | No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
|
2 | Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador. |
3 | Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração . |
4 | Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. |
5 | (Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. |
6 | Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito. |
Carregar e montar o ISO de configuração HDS
Antes de você começar
Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.
1 | Carregue o arquivo ISO do seu computador: |
2 | Monte o arquivo ISO: |
O que fazer em seguida
Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a Segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, poderá usar a interface do nó para carregar e instalar o certificado raiz. Você também pode verificar a conexão de proxy na interface e solucionar quaisquer problemas potenciais.
Antes de você começar
Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
1 | Insira a URL de configuração do nó HDS |
2 | Vá para Trust Store e Proxy e escolha uma opção:
Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 | Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo. |
4 | Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado . |
5 | Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor. |
6 | Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos. |
7 | Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Registrar o primeiro nó no grupo
Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Inicie sessão em https://admin.webex.com. |
2 | No menu do lado esquerdo da tela, selecione Services . |
3 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
|
4 | Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo . |
5 | No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas" |
6 | No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
|
7 | Clique em Ir para o nó . |
8 | Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
|
9 | Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
|
10 | Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.
|
Criar e registrar mais nós
Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera . |
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS . |
2 | Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos . |
3 | Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS . |
4 | Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó. |
5 | Registre o nó. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
|
O que fazer em seguida
Teste para o fluxo de tarefas de produção
Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.
Antes de você começar
1 | Se aplicável, sincronize o Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o |
2 |
Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
3 | Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos. |
4 | Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes. |
5 | |
6 | Conclua a fase de teste com uma das seguintes ações: |
Ativar teste
Antes de você começar
Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o HdsTrialGroup
objeto de grupo para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
1 | Inicie sessão em https://admin.webex.com e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
|
4 | Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, |
Teste a implantação de segurança de dados híbridos
Antes de você começar
Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
1 | As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto.
| ||
2 | Envie mensagens para o novo espaço. | ||
3 | Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos. |
Monitorar a integridade da segurança de dados híbridos
1 | No Control Hub , selecione Serviços no menu do lado esquerdo da tela. |
2 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
|
3 | Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter . |
Adicionar ou remover usuários do seu teste
Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.
Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup
; você pode visualizar os membros do grupo no Control Hub, mas não pode adicioná-los ou removê-los.
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste. |
4 | Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar . |
Mover do teste para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Mover para produção . |
4 | Confirme que você deseja mover todos os usuários para a produção. |
Encerre seu teste sem mover para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Desativar, clique em Desativar . |
4 | Confirme se você deseja desativar o serviço e encerrar o teste. |
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 | Inicie sessão no Control Hub. |
2 | Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 | Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 | No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 | Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
Alterar certificados x.509 devido à expiração ou outros motivos.
Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.
Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.
Não oferecemos suporte à migração de dados do PostgreSQL para o Microsoft SQL Server, ou vice-versa. Para alternar o ambiente de banco de dados, inicie uma nova implantação da Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo data center.
Por motivos de segurança, a segurança de dados híbridos usa senhas da conta de serviço com uma duração de 9 meses. A ferramenta de Configuração do HDS gera essas senhas e você as implanta em cada um dos nós do HDS como parte do arquivo de configuração ISO. Quando as senhas da sua organização estiverem quase expirando, você receberá um "Aviso de expiração da senha" da equipe Webex solicitando que redefina a senha da conta de máquina. (O e-mail inclui o texto, "Usar a API da conta de máquina para atualizar a senha"). Se suas senhas ainda não expiraram, a ferramenta oferece duas opções:
Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.
1 | Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 | Se você tiver apenas um nó HDS em execução, crie um novo nó VM e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 | Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desligar o próximo nó: |
4 | Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desativar modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Se o servidor DNS do nó não puder resolver nomes DNS públicos, o nó entrará automaticamente no modo de Resolução DNS externa bloqueada.
Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.
Antes de você começar
1 | Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 | Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim . |
3 | Vá para a página Trust Store e Proxy . |
4 | Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não. |
O que fazer em seguida
Remover um nó
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 | Remova o nó: |
3 | No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves que foi criado a qualquer usuário autorizado a recuperá-lo, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . | ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo ou remova o
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de você começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 | Desligue um de seus nós HDS. |
2 | No vCenter Server Appliance, selecione o nó HDS. |
3 | Escolher Arquivo ISO do armazenamento de dados . e desmarque |
4 | Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 | Repita para cada nó HDS por sua vez. |
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
Novos usuários adicionados a um espaço (não é possível buscar chaves)
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta | Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 | Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 | Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 | Entre em contato com o suporte da Cisco . |
Problemas conhecidos de segurança de dados híbridos
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de você começar
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 | Ao receber o certificado do servidor da sua CA, salve-o como |
2 | Exiba o certificado como texto e verifique os detalhes.
|
3 | Use um editor de texto para criar um arquivo de pacote de certificados chamado
|
4 | Crie o arquivo .p12 com o nome amigável
|
5 | Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o hdsnode.p12
arquivo e a senha que você definiu para ele, em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar. |
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó
Configurar proxies de Squid para segurança de dados híbridos
O Websocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket ( wss:
) conexões que a Segurança de dados híbridos exige. Essas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar wss:
tráfego para o funcionamento adequado dos serviços.
Squid 4 e 5
Adicionar o on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf
. Essas regras estão sujeitas a alterações à medida que desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informações novas e alteradas
Data | Alterações Feitas | ||
---|---|---|---|
20 de outubro de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de maio de 2023 |
| ||
06 de dezembro de 2022 |
| ||
23 de novembro de 2022 |
| ||
13 de outubro de 2021 | O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . | ||
24 de junho de 2021 | Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. | ||
30 de abril de 2021 | Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. | ||
24 de fevereiro de 2021 | A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. | ||
2 de fevereiro de 2021 | O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. | ||
11 de janeiro de 2021 | Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . | ||
13 de outubro de 2020 | Atualizado Baixar arquivos de instalação . | ||
08 de outubro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. | ||
14 de agosto de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. | ||
05 de agosto de 2020 | Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. | ||
16 de junho de 2020 | Atualizado Remova um nó para alterações na interface de usuário do Control Hub. | ||
04 de junho de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. | ||
29 de maio de 2020 | Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. | ||
05 de maio de 2020 | Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5. | ||
21 de abril de 2020 | Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. | ||
1º de abril de 2020 | Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. | ||
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. | ||
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. | ||
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . | ||
19 de novembro de 2019 | Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: | ||
8 de novembro de 2019 | Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade:
| ||
06 de setembro de 2019 | SQL Server Standard adicionado aos requisitos do servidor de banco de dados . | ||
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. | ||
20 de agosto de 2019 | Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . | ||
13 de junho de 2019 | Teste atualizado para o fluxo de tarefas de produção com um lembrete para sincronizar o HdsTrialGroup objeto de grupo antes de iniciar um teste se sua organização usar a sincronização de diretórios. | ||
6 de março de 2019 |
| ||
28 de fevereiro de 2019 |
| ||
26 de fevereiro de 2019 |
| ||
24 de janeiro de 2019 |
| ||
5 de novembro de 2018 |
| ||
19 de outubro de 2018 |
| ||
31 de julho de 2018 |
| ||
21 de maio de 2018 | Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de fevereiro de 2018 |
| ||
15 de fevereiro de 2018 |
| ||
18 de janeiro de 2018 |
| ||
2 de novembro de 2017 |
| ||
18 de agosto de 2017 | Primeira publicação |
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes de aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos transfere o KMS e outras funções relacionadas à segurança para o centro de dados corporativos , para que ninguém além de você tenha as chaves do seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS. |
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo. |
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de você começar
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
| ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
Após a configuração passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem o passiveMode
configuração e salve-a em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte de proxy
A Segurança de dados híbridos oferece suporte a proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à sua implantação para que possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e verificar o status geral de conectividade depois de configurar o proxy nos nós.
Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:
Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
HTTP — Visualiza e controla todas as solicitações que o cliente envia.
HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
Nenhum — nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível apenas se você selecionar HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Exemplo de nós e proxy de segurança de dados híbridos
Este diagrama mostra uma conexão de exemplo entre a Segurança de dados híbridos, rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita HTTPS, o mesmo certificado raiz deve ser instalado no proxy e nos nós de Segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele entrará automaticamente no modo de Resolução DNS externa bloqueada. Nesse modo, o registro do nó e outros testes de conectividade de proxy podem continuar.
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a postagem do blog do Docker, " O Docker está atualizando e ampliando nossas assinaturas de produtos ".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito | Detalhes |
---|---|
| Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
| O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
| O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
| Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados. |
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) | Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 | Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo | Protocolo | Porta | Direção do aplicativo | Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos | TCP | 443 | HTTPS de saída e WSS |
|
Ferramenta de configuração HDS | TCP | 443 | HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos. |
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região | URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.
Proxy transparente — Cisco Web Security Appliance (WSA).
Proxy explícito — Squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
Nenhuma autenticação com HTTP ou HTTPS
Autenticação básica com HTTP ou HTTPS
Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para
wbx2.com
eciscospark.com
resolverá o problema.
Conclua os pré-requisitos para a segurança de dados híbridos
1 | Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. | ||
2 | Escolha um nome de domínio para sua implantação HDS (por exemplo, | ||
3 | Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . | ||
4 | Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. | ||
5 | Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. | ||
6 | Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). | ||
7 | Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.
Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. | ||
8 | Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . | ||
9 | Instale o Docker ( https://www.docker.com) em qualquer máquina local que execute um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da Web que possa acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . | ||
10 | Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . | ||
11 | Se sua organização usa sincronização de diretórios, crie um grupo no Active Directory chamado
|
Fluxo de tarefas de implantação de segurança de dados híbridos
Antes de você começar
1 |
Baixe o arquivo OVA em sua máquina local para uso posterior. | ||
2 | Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos. | ||
3 | Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.
| ||
4 | Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA. | ||
5 | Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS. | ||
6 | Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário. | ||
7 | Registrar o primeiro nó no grupo Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos. | ||
8 |
Conclua a configuração do grupo. | ||
9 | Executar um teste e mover para a produção (próximo capítulo) Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
Baixar arquivos de instalação
1 | Inicie sessão em https://admin.webex.com e clique em Services . | ||||
2 | Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar . Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização.
| ||||
3 | Selecione No para indicar que você ainda não configurou o nó e clique em Next . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
| ||||
4 | Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível. |
Criar uma ISO de configuração para os organizadores HDS
O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
Credenciais do banco de dados
Atualizações do certificado
Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.
1 | Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
2 | Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
| ||||||||||||
3 | No aviso de senha, digite o seguinte hash:
| ||||||||||||
4 | Baixe a imagem estável mais recente para seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
5 | Quando o pull for concluído, digite o comando apropriado para seu ambiente:
Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080." | ||||||||||||
6 |
Use um navegador da Web para ir até o host local, A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão. | ||||||||||||
7 | Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos. | ||||||||||||
8 | Na página Visão geral da ferramenta de configuração, clique em Introdução . | ||||||||||||
9 | Na página ISO Import , você tem estas opções:
| ||||||||||||
10 | Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .
| ||||||||||||
11 | Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal: | ||||||||||||
12 | Selecione um modo de conexão do banco de dados TLS :
Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.) | ||||||||||||
13 | Na página Registros do sistema, configure seu servidor Syslogd: | ||||||||||||
14 | (Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:
| ||||||||||||
15 | Clique em Continuar na tela Redefinir senha das contas de serviço . As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores. | ||||||||||||
16 | Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar. | ||||||||||||
17 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||||||||||||
18 | Para desligar a ferramenta de Configuração, digite |
O que fazer em seguida
Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.
Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la. |
Instalar o OVA do organizador HDS
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi. | ||||||
2 | Selecione File > Implantar modelo OVF . | ||||||
3 | No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ... | ||||||
4 | No Selecione um nome e uma pasta página, insira uma Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual possa residir e clique em Próximo ... | ||||||
5 | No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ... Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos. | ||||||
6 | Verifique os detalhes do modelo e clique em Próximo . | ||||||
7 | Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ... | ||||||
8 | No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM. | ||||||
9 | No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM. | ||||||
10 | Na página Personalizar modelo , defina as seguintes configurações de rede:
Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.
| ||||||
11 | Clique com o botão direito do mouse no VM do nó e selecione .O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão. |
Configurar a VM de segurança de dados híbridos
Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.
1 | No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
|
2 | Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador. |
3 | Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração . |
4 | Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. |
5 | (Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. |
6 | Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito. |
Carregar e montar o ISO de configuração HDS
Antes de você começar
Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.
1 | Carregue o arquivo ISO do seu computador: |
2 | Monte o arquivo ISO: |
O que fazer em seguida
Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a Segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, poderá usar a interface do nó para carregar e instalar o certificado raiz. Você também pode verificar a conexão de proxy na interface e solucionar quaisquer problemas potenciais.
Antes de você começar
Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
1 | Insira a URL de configuração do nó HDS |
2 | Vá para Trust Store e Proxy e escolha uma opção:
Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 | Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo. |
4 | Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado . |
5 | Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor. |
6 | Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos. |
7 | Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Registrar o primeiro nó no grupo
Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Inicie sessão em https://admin.webex.com. |
2 | No menu do lado esquerdo da tela, selecione Services . |
3 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
|
4 | Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo . |
5 | No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas" |
6 | No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
|
7 | Clique em Ir para o nó . |
8 | Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
|
9 | Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
|
10 | Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.
|
Criar e registrar mais nós
Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera . |
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS . |
2 | Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos . |
3 | Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS . |
4 | Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó. |
5 | Registre o nó. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
|
O que fazer em seguida
Teste para o fluxo de tarefas de produção
Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.
Antes de você começar
1 | Se aplicável, sincronize o Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o |
2 |
Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
3 | Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos. |
4 | Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes. |
5 | |
6 | Conclua a fase de teste com uma das seguintes ações: |
Ativar teste
Antes de você começar
Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o HdsTrialGroup
objeto de grupo para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
1 | Inicie sessão em https://admin.webex.com e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
|
4 | Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, |
Teste a implantação de segurança de dados híbridos
Antes de você começar
Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
1 | As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto.
| ||
2 | Envie mensagens para o novo espaço. | ||
3 | Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos. |
Monitorar a integridade da segurança de dados híbridos
1 | No Control Hub , selecione Serviços no menu do lado esquerdo da tela. |
2 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
|
3 | Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter . |
Adicionar ou remover usuários do seu teste
Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.
Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup
; você pode visualizar os membros do grupo no Control Hub, mas não pode adicioná-los ou removê-los.
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste. |
4 | Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar . |
Mover do teste para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Mover para produção . |
4 | Confirme que você deseja mover todos os usuários para a produção. |
Encerre seu teste sem mover para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Desativar, clique em Desativar . |
4 | Confirme se você deseja desativar o serviço e encerrar o teste. |
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 | Inicie sessão no Control Hub. |
2 | Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 | Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 | No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 | Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
Alterar certificados x.509 devido à expiração ou outros motivos.
Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.
Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.
Não oferecemos suporte à migração de dados do PostgreSQL para o Microsoft SQL Server, ou vice-versa. Para alternar o ambiente de banco de dados, inicie uma nova implantação da Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo data center.
Por motivos de segurança, a segurança de dados híbridos usa senhas da conta de serviço com uma duração de 9 meses. A ferramenta de Configuração do HDS gera essas senhas e você as implanta em cada um dos nós do HDS como parte do arquivo de configuração ISO. Quando as senhas da sua organização estiverem quase expirando, você receberá um "Aviso de expiração da senha" da equipe Webex solicitando que redefina a senha da conta de máquina. (O e-mail inclui o texto, "Usar a API da conta de máquina para atualizar a senha"). Se suas senhas ainda não expiraram, a ferramenta oferece duas opções:
Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.
1 | Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 | Se você tiver apenas um nó HDS em execução, crie um novo nó VM e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 | Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desligar o próximo nó: |
4 | Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desativar modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Se o servidor DNS do nó não puder resolver nomes DNS públicos, o nó entrará automaticamente no modo de Resolução DNS externa bloqueada.
Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.
Antes de você começar
1 | Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 | Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim . |
3 | Vá para a página Trust Store e Proxy . |
4 | Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não. |
O que fazer em seguida
Remover um nó
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 | Remova o nó: |
3 | No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves que foi criado a qualquer usuário autorizado a recuperá-lo, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . | ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo ou remova o
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de você começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 | Desligue um de seus nós HDS. |
2 | No vCenter Server Appliance, selecione o nó HDS. |
3 | Escolher Arquivo ISO do armazenamento de dados . e desmarque |
4 | Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 | Repita para cada nó HDS por sua vez. |
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
Novos usuários adicionados a um espaço (não é possível buscar chaves)
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta | Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 | Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 | Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 | Entre em contato com o suporte da Cisco . |
Problemas conhecidos de segurança de dados híbridos
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de você começar
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 | Ao receber o certificado do servidor da sua CA, salve-o como |
2 | Exiba o certificado como texto e verifique os detalhes.
|
3 | Use um editor de texto para criar um arquivo de pacote de certificados chamado
|
4 | Crie o arquivo .p12 com o nome amigável
|
5 | Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o hdsnode.p12
arquivo e a senha que você definiu para ele, em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar. |
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó
Configurar proxies de Squid para segurança de dados híbridos
O Websocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket ( wss:
) conexões que a Segurança de dados híbridos exige. Essas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar wss:
tráfego para o funcionamento adequado dos serviços.
Squid 4 e 5
Adicionar o on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf
. Essas regras estão sujeitas a alterações à medida que desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informações novas e alteradas
Data | Alterações Feitas | ||
---|---|---|---|
20 de outubro de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de maio de 2023 |
| ||
06 de dezembro de 2022 |
| ||
23 de novembro de 2022 |
| ||
13 de outubro de 2021 | O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . | ||
24 de junho de 2021 | Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. | ||
30 de abril de 2021 | Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. | ||
24 de fevereiro de 2021 | A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. | ||
2 de fevereiro de 2021 | O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. | ||
11 de janeiro de 2021 | Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . | ||
13 de outubro de 2020 | Atualizado Baixar arquivos de instalação . | ||
08 de outubro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. | ||
14 de agosto de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. | ||
05 de agosto de 2020 | Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. | ||
16 de junho de 2020 | Atualizado Remova um nó para alterações na interface de usuário do Control Hub. | ||
04 de junho de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. | ||
29 de maio de 2020 | Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. | ||
05 de maio de 2020 | Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5. | ||
21 de abril de 2020 | Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. | ||
1º de abril de 2020 | Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. | ||
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. | ||
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. | ||
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . | ||
19 de novembro de 2019 | Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: | ||
8 de novembro de 2019 | Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade:
| ||
06 de setembro de 2019 | SQL Server Standard adicionado aos requisitos do servidor de banco de dados . | ||
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. | ||
20 de agosto de 2019 | Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . | ||
13 de junho de 2019 | Teste atualizado para o fluxo de tarefas de produção com um lembrete para sincronizar o HdsTrialGroup objeto de grupo antes de iniciar um teste se sua organização usar a sincronização de diretórios. | ||
6 de março de 2019 |
| ||
28 de fevereiro de 2019 |
| ||
26 de fevereiro de 2019 |
| ||
24 de janeiro de 2019 |
| ||
5 de novembro de 2018 |
| ||
19 de outubro de 2018 |
| ||
31 de julho de 2018 |
| ||
21 de maio de 2018 | Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de fevereiro de 2018 |
| ||
15 de fevereiro de 2018 |
| ||
18 de janeiro de 2018 |
| ||
2 de novembro de 2017 |
| ||
18 de agosto de 2017 | Primeira publicação |
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes de aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos transfere o KMS e outras funções relacionadas à segurança para o centro de dados corporativos , para que ninguém além de você tenha as chaves do seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS. |
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo. |
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de você começar
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
| ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
Após a configuração passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem o passiveMode
configuração e salve-a em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte de proxy
A Segurança de dados híbridos oferece suporte a proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à sua implantação para que possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e verificar o status geral de conectividade depois de configurar o proxy nos nós.
Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:
Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
HTTP — Visualiza e controla todas as solicitações que o cliente envia.
HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
Nenhum — nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível apenas se você selecionar HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Exemplo de nós e proxy de segurança de dados híbridos
Este diagrama mostra uma conexão de exemplo entre a Segurança de dados híbridos, rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita HTTPS, o mesmo certificado raiz deve ser instalado no proxy e nos nós de Segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele entrará automaticamente no modo de Resolução DNS externa bloqueada. Nesse modo, o registro do nó e outros testes de conectividade de proxy podem continuar.
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a postagem do blog do Docker, " O Docker está atualizando e ampliando nossas assinaturas de produtos ".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito | Detalhes |
---|---|
| Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
| O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
| O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
| Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados. |
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) | Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 | Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo | Protocolo | Porta | Direção do aplicativo | Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos | TCP | 443 | HTTPS de saída e WSS |
|
Ferramenta de configuração HDS | TCP | 443 | HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos. |
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região | URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.
Proxy transparente — Cisco Web Security Appliance (WSA).
Proxy explícito — Squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
Nenhuma autenticação com HTTP ou HTTPS
Autenticação básica com HTTP ou HTTPS
Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para
wbx2.com
eciscospark.com
resolverá o problema.
Conclua os pré-requisitos para a segurança de dados híbridos
1 | Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. | ||
2 | Escolha um nome de domínio para sua implantação HDS (por exemplo, | ||
3 | Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . | ||
4 | Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. | ||
5 | Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. | ||
6 | Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). | ||
7 | Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.
Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. | ||
8 | Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . | ||
9 | Instale o Docker ( https://www.docker.com) em qualquer máquina local que execute um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da Web que possa acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . | ||
10 | Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . | ||
11 | Se sua organização usa sincronização de diretórios, crie um grupo no Active Directory chamado
|
Fluxo de tarefas de implantação de segurança de dados híbridos
Antes de você começar
1 |
Baixe o arquivo OVA em sua máquina local para uso posterior. | ||
2 | Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos. | ||
3 | Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.
| ||
4 | Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA. | ||
5 | Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS. | ||
6 | Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário. | ||
7 | Registrar o primeiro nó no grupo Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos. | ||
8 |
Conclua a configuração do grupo. | ||
9 | Executar um teste e mover para a produção (próximo capítulo) Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
Baixar arquivos de instalação
1 | Inicie sessão em https://admin.webex.com e clique em Services . | ||||
2 | Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar . Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização.
| ||||
3 | Selecione No para indicar que você ainda não configurou o nó e clique em Next . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
| ||||
4 | Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível. |
Criar uma ISO de configuração para os organizadores HDS
O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
Credenciais do banco de dados
Atualizações do certificado
Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.
1 | Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
2 | Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
| ||||||||||||
3 | No aviso de senha, digite o seguinte hash:
| ||||||||||||
4 | Baixe a imagem estável mais recente para seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
5 | Quando o pull for concluído, digite o comando apropriado para seu ambiente:
Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080." | ||||||||||||
6 |
Use um navegador da Web para ir até o host local, A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão. | ||||||||||||
7 | Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos. | ||||||||||||
8 | Na página Visão geral da ferramenta de configuração, clique em Introdução . | ||||||||||||
9 | Na página ISO Import , você tem estas opções:
| ||||||||||||
10 | Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .
| ||||||||||||
11 | Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal: | ||||||||||||
12 | Selecione um modo de conexão do banco de dados TLS :
Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.) | ||||||||||||
13 | Na página Registros do sistema, configure seu servidor Syslogd: | ||||||||||||
14 | (Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:
| ||||||||||||
15 | Clique em Continuar na tela Redefinir senha das contas de serviço . As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores. | ||||||||||||
16 | Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar. | ||||||||||||
17 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||||||||||||
18 | Para desligar a ferramenta de Configuração, digite |
O que fazer em seguida
Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.
Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la. |
Instalar o OVA do organizador HDS
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi. | ||||||
2 | Selecione File > Implantar modelo OVF . | ||||||
3 | No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ... | ||||||
4 | No Selecione um nome e uma pasta página, insira uma Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual possa residir e clique em Próximo ... | ||||||
5 | No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ... Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos. | ||||||
6 | Verifique os detalhes do modelo e clique em Próximo . | ||||||
7 | Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ... | ||||||
8 | No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM. | ||||||
9 | No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM. | ||||||
10 | Na página Personalizar modelo , defina as seguintes configurações de rede:
Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.
| ||||||
11 | Clique com o botão direito do mouse no VM do nó e selecione .O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão. |
Configurar a VM de segurança de dados híbridos
Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.
1 | No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
|
2 | Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador. |
3 | Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração . |
4 | Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. |
5 | (Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. |
6 | Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito. |
Carregar e montar o ISO de configuração HDS
Antes de você começar
Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.
1 | Carregue o arquivo ISO do seu computador: |
2 | Monte o arquivo ISO: |
O que fazer em seguida
Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a Segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, poderá usar a interface do nó para carregar e instalar o certificado raiz. Você também pode verificar a conexão de proxy na interface e solucionar quaisquer problemas potenciais.
Antes de você começar
Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
1 | Insira a URL de configuração do nó HDS |
2 | Vá para Trust Store e Proxy e escolha uma opção:
Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 | Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo. |
4 | Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado . |
5 | Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor. |
6 | Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos. |
7 | Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Registrar o primeiro nó no grupo
Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Inicie sessão em https://admin.webex.com. |
2 | No menu do lado esquerdo da tela, selecione Services . |
3 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
|
4 | Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo . |
5 | No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas" |
6 | No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
|
7 | Clique em Ir para o nó . |
8 | Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
|
9 | Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
|
10 | Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.
|
Criar e registrar mais nós
Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera . |
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS . |
2 | Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos . |
3 | Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS . |
4 | Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó. |
5 | Registre o nó. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
|
O que fazer em seguida
Teste para o fluxo de tarefas de produção
Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.
Antes de você começar
1 | Se aplicável, sincronize o Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o |
2 |
Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
3 | Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos. |
4 | Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes. |
5 | |
6 | Conclua a fase de teste com uma das seguintes ações: |
Ativar teste
Antes de você começar
Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o HdsTrialGroup
objeto de grupo para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
1 | Inicie sessão em https://admin.webex.com e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
|
4 | Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, |
Teste a implantação de segurança de dados híbridos
Antes de você começar
Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
1 | As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto.
| ||
2 | Envie mensagens para o novo espaço. | ||
3 | Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos. |
Monitorar a integridade da segurança de dados híbridos
1 | No Control Hub , selecione Serviços no menu do lado esquerdo da tela. |
2 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
|
3 | Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter . |
Adicionar ou remover usuários do seu teste
Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.
Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup
; você pode visualizar os membros do grupo no Control Hub, mas não pode adicioná-los ou removê-los.
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste. |
4 | Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar . |
Mover do teste para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Mover para produção . |
4 | Confirme que você deseja mover todos os usuários para a produção. |
Encerre seu teste sem mover para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Desativar, clique em Desativar . |
4 | Confirme se você deseja desativar o serviço e encerrar o teste. |
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 | Inicie sessão no Control Hub. |
2 | Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 | Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 | No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 | Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
Alterar certificados x.509 devido à expiração ou outros motivos.
Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.
Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.
Não oferecemos suporte à migração de dados do PostgreSQL para o Microsoft SQL Server, ou vice-versa. Para alternar o ambiente de banco de dados, inicie uma nova implantação da Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo data center.
Por motivos de segurança, a segurança de dados híbridos usa senhas da conta de serviço com uma duração de 9 meses. A ferramenta de Configuração do HDS gera essas senhas e você as implanta em cada um dos nós do HDS como parte do arquivo de configuração ISO. Quando as senhas da sua organização estiverem quase expirando, você receberá um "Aviso de expiração da senha" da equipe Webex solicitando que redefina a senha da conta de máquina. (O e-mail inclui o texto, "Usar a API da conta de máquina para atualizar a senha"). Se suas senhas ainda não expiraram, a ferramenta oferece duas opções:
Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.
1 | Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 | Se você tiver apenas um nó HDS em execução, crie um novo nó VM e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 | Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desligar o próximo nó: |
4 | Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desativar modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Se o servidor DNS do nó não puder resolver nomes DNS públicos, o nó entrará automaticamente no modo de Resolução DNS externa bloqueada.
Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.
Antes de você começar
1 | Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 | Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim . |
3 | Vá para a página Trust Store e Proxy . |
4 | Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não. |
O que fazer em seguida
Remover um nó
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 | Remova o nó: |
3 | No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves que foi criado a qualquer usuário autorizado a recuperá-lo, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . | ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo ou remova o
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de você começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 | Desligue um de seus nós HDS. |
2 | No vCenter Server Appliance, selecione o nó HDS. |
3 | Escolher Arquivo ISO do armazenamento de dados . e desmarque |
4 | Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 | Repita para cada nó HDS por sua vez. |
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
Novos usuários adicionados a um espaço (não é possível buscar chaves)
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta | Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 | Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 | Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 | Entre em contato com o suporte da Cisco . |
Problemas conhecidos de segurança de dados híbridos
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de você começar
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 | Ao receber o certificado do servidor da sua CA, salve-o como |
2 | Exiba o certificado como texto e verifique os detalhes.
|
3 | Use um editor de texto para criar um arquivo de pacote de certificados chamado
|
4 | Crie o arquivo .p12 com o nome amigável
|
5 | Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o hdsnode.p12
arquivo e a senha que você definiu para ele, em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar. |
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó
Configurar proxies de Squid para segurança de dados híbridos
O Websocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket ( wss:
) conexões que a Segurança de dados híbridos exige. Essas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar wss:
tráfego para o funcionamento adequado dos serviços.
Squid 4 e 5
Adicionar o on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf
. Essas regras estão sujeitas a alterações à medida que desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informações novas e alteradas
Data | Alterações Feitas | ||
---|---|---|---|
20 de outubro de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de maio de 2023 |
| ||
06 de dezembro de 2022 |
| ||
23 de novembro de 2022 |
| ||
13 de outubro de 2021 | O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . | ||
24 de junho de 2021 | Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. | ||
30 de abril de 2021 | Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. | ||
24 de fevereiro de 2021 | A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. | ||
2 de fevereiro de 2021 | O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. | ||
11 de janeiro de 2021 | Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . | ||
13 de outubro de 2020 | Atualizado Baixar arquivos de instalação . | ||
08 de outubro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. | ||
14 de agosto de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. | ||
05 de agosto de 2020 | Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. | ||
16 de junho de 2020 | Atualizado Remova um nó para alterações na interface de usuário do Control Hub. | ||
04 de junho de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. | ||
29 de maio de 2020 | Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. | ||
05 de maio de 2020 | Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5. | ||
21 de abril de 2020 | Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. | ||
1º de abril de 2020 | Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. | ||
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. | ||
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. | ||
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . | ||
19 de novembro de 2019 | Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: | ||
8 de novembro de 2019 | Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade:
| ||
06 de setembro de 2019 | SQL Server Standard adicionado aos requisitos do servidor de banco de dados . | ||
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. | ||
20 de agosto de 2019 | Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . | ||
13 de junho de 2019 | Teste atualizado para o fluxo de tarefas de produção com um lembrete para sincronizar o HdsTrialGroup objeto de grupo antes de iniciar um teste se sua organização usar a sincronização de diretórios. | ||
6 de março de 2019 |
| ||
28 de fevereiro de 2019 |
| ||
26 de fevereiro de 2019 |
| ||
24 de janeiro de 2019 |
| ||
5 de novembro de 2018 |
| ||
19 de outubro de 2018 |
| ||
31 de julho de 2018 |
| ||
21 de maio de 2018 | Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de fevereiro de 2018 |
| ||
15 de fevereiro de 2018 |
| ||
18 de janeiro de 2018 |
| ||
2 de novembro de 2017 |
| ||
18 de agosto de 2017 | Primeira publicação |
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes de aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos transfere o KMS e outras funções relacionadas à segurança para o centro de dados corporativos , para que ninguém além de você tenha as chaves do seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS. |
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo. |
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de você começar
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
| ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
Após a configuração passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem o passiveMode
configuração e salve-a em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte de proxy
A Segurança de dados híbridos oferece suporte a proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à sua implantação para que possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e verificar o status geral de conectividade depois de configurar o proxy nos nós.
Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:
Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
HTTP — Visualiza e controla todas as solicitações que o cliente envia.
HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
Nenhum — nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível apenas se você selecionar HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Exemplo de nós e proxy de segurança de dados híbridos
Este diagrama mostra uma conexão de exemplo entre a Segurança de dados híbridos, rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita HTTPS, o mesmo certificado raiz deve ser instalado no proxy e nos nós de Segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele entrará automaticamente no modo de Resolução DNS externa bloqueada. Nesse modo, o registro do nó e outros testes de conectividade de proxy podem continuar.
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a postagem do blog do Docker, " O Docker está atualizando e ampliando nossas assinaturas de produtos ".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito | Detalhes |
---|---|
| Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
| O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
| O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
| Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados. |
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) | Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 | Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo | Protocolo | Porta | Direção do aplicativo | Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos | TCP | 443 | HTTPS de saída e WSS |
|
Ferramenta de configuração HDS | TCP | 443 | HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos. |
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região | URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.
Proxy transparente — Cisco Web Security Appliance (WSA).
Proxy explícito — Squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
Nenhuma autenticação com HTTP ou HTTPS
Autenticação básica com HTTP ou HTTPS
Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para
wbx2.com
eciscospark.com
resolverá o problema.
Conclua os pré-requisitos para a segurança de dados híbridos
1 | Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. | ||
2 | Escolha um nome de domínio para sua implantação HDS (por exemplo, | ||
3 | Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . | ||
4 | Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. | ||
5 | Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. | ||
6 | Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). | ||
7 | Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.
Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. | ||
8 | Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . | ||
9 | Instale o Docker ( https://www.docker.com) em qualquer máquina local que execute um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da Web que possa acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . | ||
10 | Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . | ||
11 | Se sua organização usa sincronização de diretórios, crie um grupo no Active Directory chamado
|
Fluxo de tarefas de implantação de segurança de dados híbridos
Antes de você começar
1 |
Baixe o arquivo OVA em sua máquina local para uso posterior. | ||
2 | Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos. | ||
3 | Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.
| ||
4 | Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA. | ||
5 | Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS. | ||
6 | Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário. | ||
7 | Registrar o primeiro nó no grupo Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos. | ||
8 |
Conclua a configuração do grupo. | ||
9 | Executar um teste e mover para a produção (próximo capítulo) Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
Baixar arquivos de instalação
1 | Inicie sessão em https://admin.webex.com e clique em Services . | ||||
2 | Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar . Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização.
| ||||
3 | Selecione No para indicar que você ainda não configurou o nó e clique em Next . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
| ||||
4 | Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível. |
Criar uma ISO de configuração para os organizadores HDS
O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
Credenciais do banco de dados
Atualizações do certificado
Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.
1 | Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
2 | Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
| ||||||||||||
3 | No aviso de senha, digite o seguinte hash:
| ||||||||||||
4 | Baixe a imagem estável mais recente para seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
5 | Quando o pull for concluído, digite o comando apropriado para seu ambiente:
Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080." | ||||||||||||
6 |
Use um navegador da Web para ir até o host local, A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão. | ||||||||||||
7 | Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos. | ||||||||||||
8 | Na página Visão geral da ferramenta de configuração, clique em Introdução . | ||||||||||||
9 | Na página ISO Import , você tem estas opções:
| ||||||||||||
10 | Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .
| ||||||||||||
11 | Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal: | ||||||||||||
12 | Selecione um modo de conexão do banco de dados TLS :
Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.) | ||||||||||||
13 | Na página Registros do sistema, configure seu servidor Syslogd: | ||||||||||||
14 | (Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:
| ||||||||||||
15 | Clique em Continuar na tela Redefinir senha das contas de serviço . As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores. | ||||||||||||
16 | Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar. | ||||||||||||
17 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||||||||||||
18 | Para desligar a ferramenta de Configuração, digite |
O que fazer em seguida
Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.
Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la. |
Instalar o OVA do organizador HDS
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi. | ||||||
2 | Selecione File > Implantar modelo OVF . | ||||||
3 | No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ... | ||||||
4 | No Selecione um nome e uma pasta página, insira uma Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual possa residir e clique em Próximo ... | ||||||
5 | No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ... Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos. | ||||||
6 | Verifique os detalhes do modelo e clique em Próximo . | ||||||
7 | Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ... | ||||||
8 | No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM. | ||||||
9 | No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM. | ||||||
10 | Na página Personalizar modelo , defina as seguintes configurações de rede:
Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.
| ||||||
11 | Clique com o botão direito do mouse no VM do nó e selecione .O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão. |
Configurar a VM de segurança de dados híbridos
Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.
1 | No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
|
2 | Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador. |
3 | Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração . |
4 | Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. |
5 | (Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. |
6 | Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito. |
Carregar e montar o ISO de configuração HDS
Antes de você começar
Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.
1 | Carregue o arquivo ISO do seu computador: |
2 | Monte o arquivo ISO: |
O que fazer em seguida
Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a Segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, poderá usar a interface do nó para carregar e instalar o certificado raiz. Você também pode verificar a conexão de proxy na interface e solucionar quaisquer problemas potenciais.
Antes de você começar
Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
1 | Insira a URL de configuração do nó HDS |
2 | Vá para Trust Store e Proxy e escolha uma opção:
Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 | Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo. |
4 | Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado . |
5 | Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor. |
6 | Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos. |
7 | Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Registrar o primeiro nó no grupo
Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Inicie sessão em https://admin.webex.com. |
2 | No menu do lado esquerdo da tela, selecione Services . |
3 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
|
4 | Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo . |
5 | No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas" |
6 | No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
|
7 | Clique em Ir para o nó . |
8 | Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
|
9 | Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
|
10 | Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.
|
Criar e registrar mais nós
Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera . |
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS . |
2 | Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos . |
3 | Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS . |
4 | Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó. |
5 | Registre o nó. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
|
O que fazer em seguida
Teste para o fluxo de tarefas de produção
Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.
Antes de você começar
1 | Se aplicável, sincronize o Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o |
2 |
Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
3 | Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos. |
4 | Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes. |
5 | |
6 | Conclua a fase de teste com uma das seguintes ações: |
Ativar teste
Antes de você começar
Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o HdsTrialGroup
objeto de grupo para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
1 | Inicie sessão em https://admin.webex.com e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
|
4 | Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, |
Teste a implantação de segurança de dados híbridos
Antes de você começar
Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
1 | As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto.
| ||
2 | Envie mensagens para o novo espaço. | ||
3 | Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos. |
Monitorar a integridade da segurança de dados híbridos
1 | No Control Hub , selecione Serviços no menu do lado esquerdo da tela. |
2 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
|
3 | Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter . |
Adicionar ou remover usuários do seu teste
Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.
Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup
; você pode visualizar os membros do grupo no Control Hub, mas não pode adicioná-los ou removê-los.
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste. |
4 | Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar . |
Mover do teste para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Mover para produção . |
4 | Confirme que você deseja mover todos os usuários para a produção. |
Encerre seu teste sem mover para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Desativar, clique em Desativar . |
4 | Confirme se você deseja desativar o serviço e encerrar o teste. |
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 | Inicie sessão no Control Hub. |
2 | Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 | Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 | No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 | Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
Alterar certificados x.509 devido à expiração ou outros motivos.
Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.
Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.
Não oferecemos suporte à migração de dados do PostgreSQL para o Microsoft SQL Server, ou vice-versa. Para alternar o ambiente de banco de dados, inicie uma nova implantação da Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo data center.
Por motivos de segurança, a segurança de dados híbridos usa senhas da conta de serviço com uma duração de 9 meses. A ferramenta de Configuração do HDS gera essas senhas e você as implanta em cada um dos nós do HDS como parte do arquivo de configuração ISO. Quando as senhas da sua organização estiverem quase expirando, você receberá um "Aviso de expiração da senha" da equipe Webex solicitando que redefina a senha da conta de máquina. (O e-mail inclui o texto, "Usar a API da conta de máquina para atualizar a senha"). Se suas senhas ainda não expiraram, a ferramenta oferece duas opções:
Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.
1 | Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 | Se você tiver apenas um nó HDS em execução, crie um novo nó VM e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 | Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desligar o próximo nó: |
4 | Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desativar modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Se o servidor DNS do nó não puder resolver nomes DNS públicos, o nó entrará automaticamente no modo de Resolução DNS externa bloqueada.
Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.
Antes de você começar
1 | Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 | Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim . |
3 | Vá para a página Trust Store e Proxy . |
4 | Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não. |
O que fazer em seguida
Remover um nó
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 | Remova o nó: |
3 | No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves que foi criado a qualquer usuário autorizado a recuperá-lo, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . | ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo ou remova o
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de você começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 | Desligue um de seus nós HDS. |
2 | No vCenter Server Appliance, selecione o nó HDS. |
3 | Escolher Arquivo ISO do armazenamento de dados . e desmarque |
4 | Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 | Repita para cada nó HDS por sua vez. |
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
Novos usuários adicionados a um espaço (não é possível buscar chaves)
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta | Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 | Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 | Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 | Entre em contato com o suporte da Cisco . |
Problemas conhecidos de segurança de dados híbridos
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de você começar
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 | Ao receber o certificado do servidor da sua CA, salve-o como |
2 | Exiba o certificado como texto e verifique os detalhes.
|
3 | Use um editor de texto para criar um arquivo de pacote de certificados chamado
|
4 | Crie o arquivo .p12 com o nome amigável
|
5 | Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o hdsnode.p12
arquivo e a senha que você definiu para ele, em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar. |
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó
Configurar proxies de Squid para segurança de dados híbridos
O Websocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket ( wss:
) conexões que a Segurança de dados híbridos exige. Essas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar wss:
tráfego para o funcionamento adequado dos serviços.
Squid 4 e 5
Adicionar o on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf
. Essas regras estão sujeitas a alterações à medida que desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informações novas e alteradas
Data | Alterações Feitas | ||
---|---|---|---|
20 de outubro de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de maio de 2023 |
| ||
06 de dezembro de 2022 |
| ||
23 de novembro de 2022 |
| ||
13 de outubro de 2021 | O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . | ||
24 de junho de 2021 | Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. | ||
30 de abril de 2021 | Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. | ||
24 de fevereiro de 2021 | A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. | ||
2 de fevereiro de 2021 | O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. | ||
11 de janeiro de 2021 | Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . | ||
13 de outubro de 2020 | Atualizado Baixar arquivos de instalação . | ||
08 de outubro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. | ||
14 de agosto de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. | ||
05 de agosto de 2020 | Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. | ||
16 de junho de 2020 | Atualizado Remova um nó para alterações na interface de usuário do Control Hub. | ||
04 de junho de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. | ||
29 de maio de 2020 | Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. | ||
05 de maio de 2020 | Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5. | ||
21 de abril de 2020 | Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. | ||
1º de abril de 2020 | Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. | ||
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. | ||
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. | ||
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . | ||
19 de novembro de 2019 | Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: | ||
8 de novembro de 2019 | Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade:
| ||
06 de setembro de 2019 | SQL Server Standard adicionado aos requisitos do servidor de banco de dados . | ||
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. | ||
20 de agosto de 2019 | Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . | ||
13 de junho de 2019 | Teste atualizado para o fluxo de tarefas de produção com um lembrete para sincronizar o HdsTrialGroup objeto de grupo antes de iniciar um teste se sua organização usar a sincronização de diretórios. | ||
6 de março de 2019 |
| ||
28 de fevereiro de 2019 |
| ||
26 de fevereiro de 2019 |
| ||
24 de janeiro de 2019 |
| ||
5 de novembro de 2018 |
| ||
19 de outubro de 2018 |
| ||
31 de julho de 2018 |
| ||
21 de maio de 2018 | Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de fevereiro de 2018 |
| ||
15 de fevereiro de 2018 |
| ||
18 de janeiro de 2018 |
| ||
2 de novembro de 2017 |
| ||
18 de agosto de 2017 | Primeira publicação |
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes de aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos transfere o KMS e outras funções relacionadas à segurança para o centro de dados corporativos , para que ninguém além de você tenha as chaves do seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS. |
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo. |
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de você começar
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
| ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
Após a configuração passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem o passiveMode
configuração e salve-a em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte de proxy
A Segurança de dados híbridos oferece suporte a proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à sua implantação para que possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e verificar o status geral de conectividade depois de configurar o proxy nos nós.
Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:
Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
HTTP — Visualiza e controla todas as solicitações que o cliente envia.
HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
Nenhum — nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível apenas se você selecionar HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Exemplo de nós e proxy de segurança de dados híbridos
Este diagrama mostra uma conexão de exemplo entre a Segurança de dados híbridos, rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita HTTPS, o mesmo certificado raiz deve ser instalado no proxy e nos nós de Segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele entrará automaticamente no modo de Resolução DNS externa bloqueada. Nesse modo, o registro do nó e outros testes de conectividade de proxy podem continuar.
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a postagem do blog do Docker, " O Docker está atualizando e ampliando nossas assinaturas de produtos ".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito | Detalhes |
---|---|
| Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
| O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
| O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
| Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados. |
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) | Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 | Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo | Protocolo | Porta | Direção do aplicativo | Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos | TCP | 443 | HTTPS de saída e WSS |
|
Ferramenta de configuração HDS | TCP | 443 | HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos. |
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região | URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.
Proxy transparente — Cisco Web Security Appliance (WSA).
Proxy explícito — Squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
Nenhuma autenticação com HTTP ou HTTPS
Autenticação básica com HTTP ou HTTPS
Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir com as conexões de soquete da web. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para
wbx2.com
eciscospark.com
resolverá o problema.
Conclua os pré-requisitos para a segurança de dados híbridos
1 | Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. | ||
2 | Escolha um nome de domínio para sua implantação HDS (por exemplo, | ||
3 | Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . | ||
4 | Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. | ||
5 | Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. | ||
6 | Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). | ||
7 | Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.
Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. | ||
8 | Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . | ||
9 | Instale o Docker ( https://www.docker.com) em qualquer máquina local que execute um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da Web que possa acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . | ||
10 | Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . | ||
11 | Se sua organização usa sincronização de diretórios, crie um grupo no Active Directory chamado
|
Fluxo de tarefas de implantação de segurança de dados híbridos
Antes de você começar
1 |
Baixe o arquivo OVA em sua máquina local para uso posterior. | ||
2 | Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos. | ||
3 | Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.
| ||
4 | Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA. | ||
5 | Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS. | ||
6 | Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário. | ||
7 | Registrar o primeiro nó no grupo Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos. | ||
8 |
Conclua a configuração do grupo. | ||
9 | Executar um teste e mover para a produção (próximo capítulo) Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
Baixar arquivos de instalação
1 | Inicie sessão em https://admin.webex.com e clique em Services . | ||||
2 | Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar . Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização.
| ||||
3 | Selecione No para indicar que você ainda não configurou o nó e clique em Next . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
| ||||
4 | Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível. |
Criar uma ISO de configuração para os organizadores HDS
O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
Credenciais do banco de dados
Atualizações do certificado
Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.
1 | Na linha de comando da sua máquina, digite o comando apropriado para o seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
2 | Para Iniciar sessão no registro de imagem do Docker, digite o seguinte:
| ||||||||||||
3 | No aviso de senha, digite o seguinte hash:
| ||||||||||||
4 | Baixe a imagem estável mais recente para seu ambiente: Em ambientes normais:
Em ambientes FedRAMP:
| ||||||||||||
5 | Quando o pull for concluído, digite o comando apropriado para seu ambiente:
Quando o contêiner está em execução, você vê "servidor expresso escutando na porta 8080." | ||||||||||||
6 |
Use um navegador da Web para ir até o host local, A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão. | ||||||||||||
7 | Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos. | ||||||||||||
8 | Na página Visão geral da ferramenta de configuração, clique em Introdução . | ||||||||||||
9 | Na página ISO Import , você tem estas opções:
| ||||||||||||
10 | Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .
| ||||||||||||
11 | Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal: | ||||||||||||
12 | Selecione um modo de conexão do banco de dados TLS :
Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.) | ||||||||||||
13 | Na página Registros do sistema, configure seu servidor Syslogd: | ||||||||||||
14 | (Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:
| ||||||||||||
15 | Clique em Continuar na tela Redefinir senha das contas de serviço . As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores. | ||||||||||||
16 | Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar. | ||||||||||||
17 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||||||||||||
18 | Para desligar a ferramenta de Configuração, digite |
O que fazer em seguida
Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.
Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la. |
Instalar o OVA do organizador HDS
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi. | ||||||
2 | Selecione File > Implantar modelo OVF . | ||||||
3 | No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ... | ||||||
4 | No Selecione um nome e uma pasta página, insira uma Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual possa residir e clique em Próximo ... | ||||||
5 | No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ... Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos. | ||||||
6 | Verifique os detalhes do modelo e clique em Próximo . | ||||||
7 | Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ... | ||||||
8 | No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM. | ||||||
9 | No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM. | ||||||
10 | Na página Personalizar modelo , defina as seguintes configurações de rede:
Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.
| ||||||
11 | Clique com o botão direito do mouse no VM do nó e selecione .O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão. |
Configurar a VM de segurança de dados híbridos
Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.
1 | No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
|
2 | Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador. |
3 | Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração . |
4 | Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. |
5 | (Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. |
6 | Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito. |
Carregar e montar o ISO de configuração HDS
Antes de você começar
Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.
1 | Carregue o arquivo ISO do seu computador: |
2 | Monte o arquivo ISO: |
O que fazer em seguida
Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a Segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, poderá usar a interface do nó para carregar e instalar o certificado raiz. Você também pode verificar a conexão de proxy na interface e solucionar quaisquer problemas potenciais.
Antes de você começar
Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
1 | Insira a URL de configuração do nó HDS |
2 | Vá para Trust Store e Proxy e escolha uma opção:
Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 | Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo. |
4 | Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado . |
5 | Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor. |
6 | Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos. |
7 | Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Registrar o primeiro nó no grupo
Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Inicie sessão em https://admin.webex.com. |
2 | No menu do lado esquerdo da tela, selecione Services . |
3 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
|
4 | Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo . |
5 | No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas" |
6 | No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
|
7 | Clique em Ir para o nó . |
8 | Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
|
9 | Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
|
10 | Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.
|
Criar e registrar mais nós
Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera . |
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS . |
2 | Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos . |
3 | Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS . |
4 | Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó. |
5 | Registre o nó. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
|
O que fazer em seguida
Teste para o fluxo de tarefas de produção
Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.
Antes de você começar
1 | Se aplicável, sincronize o Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o |
2 |
Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
3 | Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos. |
4 | Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes. |
5 | |
6 | Conclua a fase de teste com uma das seguintes ações: |
Ativar teste
Antes de você começar
Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o HdsTrialGroup
objeto de grupo para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
1 | Inicie sessão em https://admin.webex.com e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
|
4 | Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, |
Teste a implantação de segurança de dados híbridos
Antes de você começar
Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
1 | As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto.
| ||
2 | Envie mensagens para o novo espaço. | ||
3 | Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos. |
Monitorar a integridade da segurança de dados híbridos
1 | No Control Hub , selecione Serviços no menu do lado esquerdo da tela. |
2 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
|
3 | Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter . |
Adicionar ou remover usuários do seu teste
Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.
Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup
; você pode visualizar os membros do grupo no Control Hub, mas não pode adicioná-los ou removê-los.
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste. |
4 | Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar . |
Mover do teste para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Mover para produção . |
4 | Confirme que você deseja mover todos os usuários para a produção. |
Encerre seu teste sem mover para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Desativar, clique em Desativar . |
4 | Confirme se você deseja desativar o serviço e encerrar o teste. |
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 | Inicie sessão no Control Hub. |
2 | Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 | Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 | No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 | Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
Alterar certificados x.509 devido à expiração ou outros motivos.
Não suportamos a alteração do nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.
Atualizando as configurações do banco de dados para serem alteradas para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.
Não oferecemos suporte à migração de dados do PostgreSQL para o Microsoft SQL Server, ou vice-versa. Para alternar o ambiente de banco de dados, inicie uma nova implantação da Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo data center.
Por motivos de segurança, a segurança de dados híbridos usa senhas da conta de serviço com uma duração de 9 meses. A ferramenta de Configuração do HDS gera essas senhas e você as implanta em cada um dos nós do HDS como parte do arquivo de configuração ISO. Quando as senhas da sua organização estiverem quase expirando, você receberá um "Aviso de expiração da senha" da equipe Webex solicitando que redefina a senha da conta de máquina. (O e-mail inclui o texto, "Usar a API da conta de máquina para atualizar a senha"). Se suas senhas ainda não expiraram, a ferramenta oferece duas opções:
Redefinição suave —As senhas antiga e nova funcionam por até 10 dias. Use esse período para substituir o arquivo ISO nos nós gradualmente.
Redefinição física —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso afetará seu serviço HDS, exigindo uma redefinição imediata e a substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao grupo.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos totais de administrador na sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa do ISO quando faz alterações de configuração, incluindo credenciais de banco de dados, atualizações de certificados ou alterações na política de autorização.
1 | Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 | Se você tiver apenas um nó HDS em execução, crie um novo nó VM e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 | Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desligar o próximo nó: |
4 | Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desativar modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Se o servidor DNS do nó não puder resolver nomes DNS públicos, o nó entrará automaticamente no modo de Resolução DNS externa bloqueada.
Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.
Antes de você começar
1 | Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 | Vá para Visão geral (a página padrão). Quando ativado, Resolução de DNS externo bloqueado está definido como Sim . |
3 | Vá para a página Trust Store e Proxy . |
4 | Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não. |
O que fazer em seguida
Remover um nó
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 | Remova o nó: |
3 | No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves que foi criado a qualquer usuário autorizado a recuperá-lo, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . | ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo ou remova o
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de você começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 | Desligue um de seus nós HDS. |
2 | No vCenter Server Appliance, selecione o nó HDS. |
3 | Escolher Arquivo ISO do armazenamento de dados . e desmarque |
4 | Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 | Repita para cada nó HDS por sua vez. |
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
Novos usuários adicionados a um espaço (não é possível buscar chaves)
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta | Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 | Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 | Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 | Entre em contato com o suporte da Cisco . |
Problemas conhecidos de segurança de dados híbridos
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de você começar
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 | Ao receber o certificado do servidor da sua CA, salve-o como |
2 | Exiba o certificado como texto e verifique os detalhes.
|
3 | Use um editor de texto para criar um arquivo de pacote de certificados chamado
|
4 | Crie o arquivo .p12 com o nome amigável
|
5 | Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o hdsnode.p12
arquivo e a senha que você definiu para ele, em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar. |
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó
Configurar proxies de Squid para segurança de dados híbridos
O Websocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket ( wss:
) conexões que a Segurança de dados híbridos exige. Essas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar wss:
tráfego para o funcionamento adequado dos serviços.
Squid 4 e 5
Adicionar o on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf
. Essas regras estão sujeitas a alterações à medida que desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informações novas e alteradas
Data |
Alterações Feitas | ||
---|---|---|---|
20 de outubro de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de maio de 2023 |
| ||
06 de dezembro de 2022 |
| ||
23 de novembro de 2022 |
| ||
13 de outubro de 2021 |
O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . | ||
24 de junho de 2021 |
Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. | ||
30 de abril de 2021 |
Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. | ||
24 de fevereiro de 2021 |
A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. | ||
2 de fevereiro de 2021 |
O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. | ||
11 de janeiro de 2021 |
Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . | ||
13 de outubro de 2020 |
Atualizado Baixar arquivos de instalação . | ||
08 de outubro de 2020 |
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. | ||
14 de agosto de 2020 |
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. | ||
05 de agosto de 2020 |
Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. | ||
16 de junho de 2020 |
Atualizado Remova um nó para alterações na interface de usuário do Control Hub. | ||
04 de junho de 2020 |
Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. | ||
29 de maio de 2020 |
Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. | ||
05 de maio de 2020 |
Atualizado Requisitos do organizador virtual para mostrar o novo requisito do ESXi 6.5. | ||
21 de abril de 2020 |
Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. | ||
1º de abril de 2020 |
Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. | ||
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. | ||
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. | ||
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . | ||
19 de novembro de 2019 |
Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: | ||
8 de novembro de 2019 |
Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade:
| ||
6 de setembro de 2019 |
SQL Server Standard adicionado aos requisitos do servidor de banco de dados . | ||
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. | ||
20 de agosto de 2019 |
Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . | ||
13 de junho de 2019 | Atualizado Teste para o fluxo de tarefas de produção com um lembrete para sincronizar o objeto HdsTrialGroup grupo antes de iniciar um teste se a sua organização usa a sincronização de diretórios. | ||
6 de março de 2019 |
| ||
28 de fevereiro de 2019 |
| ||
26 de fevereiro de 2019 |
| ||
24 de janeiro de 2019 |
| ||
5 de novembro de 2018 |
| ||
19 de outubro de 2018 |
| ||
31 de julho de 2018 |
| ||
21 de maio de 2018 |
Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de fevereiro de 2018 |
| ||
15 de fevereiro de 2018 |
| ||
18 de janeiro de 2018 |
| ||
2 de novembro de 2017 |
| ||
18 de agosto de 2017 |
Primeira publicação |
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A base dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
-
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
-
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
-
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
-
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
-
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
-
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
-
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
-
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS. |
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configurar a segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de segurança de dados híbridos, teste sua implantação com um subconjunto de usuários no modo de teste e, uma vez que seu teste esteja concluído, vá para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
-
Mantenha sua implantação de segurança de dados híbridos —A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
-
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo. |
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de começar
-
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
-
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 |
Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
| ||
2 |
Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 |
Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
| ||
4 |
Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 |
Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 |
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 |
Clique em Editar Configurações > Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados.
| ||
8 |
Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 |
Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
Depois de configurar passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem a configuração passiveMode
e salvá-lo em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte a proxy
A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.
Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:
-
Nenhum proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
-
Proxy não inspecional transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy não inspecional. Não é necessária nenhuma atualização de certificado.
-
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
-
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
-
IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy.
-
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
-
Proxy Protocol —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
-
HTTP — exibe e controla todas as solicitações que o cliente envia.
-
HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
-
-
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
-
Nenhum —Nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
-
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
Requer que você insira a nome de usuário e a senha em cada nó.
-
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível somente se você selecionar HTTPS como o protocolo de proxy.
Requer que você insira a nome de usuário e a senha em cada nó.
-
-
Exemplo de um proxy e nós de segurança de dados híbridos
Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
-
Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito |
Detalhes |
---|---|
|
Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
|
O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
|
O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
|
Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
-
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
-
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
-
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados. |
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 |
Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
-
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
-
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
-
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
-
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo |
Protocolo |
Porta |
Direção do aplicativo |
Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos |
TCP |
443 |
HTTPS de saída e WSS |
|
Ferramenta de configuração HDS |
TCP |
443 |
HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos. |
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região |
URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
-
Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
-
Proxy transparente — Cisco Web Security Appliance (WSA).
-
Proxy explícito — squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket (wss:). Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
-
-
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
-
Sem autenticação com HTTP ou HTTPS
-
Autenticação básica com HTTP ou HTTPS
-
Autenticação Digest com apenas HTTPS
-
-
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
-
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
-
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para
wbx2.com
eciscospark.com
.
Conclua os pré-requisitos para a segurança de dados híbridos
1 |
Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. | ||
2 |
Escolha um nome de domínio para a implantação do HDS (por exemplo, | ||
3 |
Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . | ||
4 |
Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. | ||
5 |
Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. | ||
6 |
Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). | ||
7 |
Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.
Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. | ||
8 |
Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . | ||
9 |
Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da web que pode acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . | ||
10 |
Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . | ||
11 |
Se sua organização usar a sincronização de diretórios, crie um grupo no Active Directory chamado
|
Hybrid Data Security Deployment Task Flow
Antes de começar
1 |
Download the OVA file to your local machine for later use. | ||
2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
6 |
Configurar o nó HDS para integração de proxy If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
8 |
Create and Register More Nodes Complete the cluster setup. | ||
9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Antes de começar
-
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
1 |
Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: Em ambientes FedRAMP:
| ||||||||||||
2 |
Para se inscrever no registro de imagem do Docker, insira o seguinte: | ||||||||||||
3 |
No prompt de senha, digite este hash: | ||||||||||||
4 |
Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: Em ambientes FedRAMP: | ||||||||||||
5 |
Quando o pull for concluído, insira o comando apropriado para o seu ambiente:
Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080". | ||||||||||||
6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
9 |
On the ISO Import page, you have these options:
| ||||||||||||
10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
18 |
Para encerrar a ferramenta de Configuração, digite |
O que fazer em seguida
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
2 |
Select File > Deploy OVF Template. | ||||||
3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
6 |
Verify the template details and then click Next. | ||||||
7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
11 |
Right-click the node VM, and then choose .The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Dicas de solução de problemas You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
|
2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Antes de começar
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
1 |
Upload the ISO file from your computer: |
2 |
Mount the ISO file: |
O que fazer em seguida
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.
Antes de começar
-
See Proxy Support for an overview of the supported proxy options.
1 |
Insira o URL de configuração do nó HDS |
2 |
Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção:
Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 |
Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo. |
4 |
Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
5 |
Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor. |
6 |
Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos. |
7 |
Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Register the First Node in the Cluster
When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.
Antes de começar
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Inicie sessão em https://admin.webex.com. |
2 |
From the menu on the left side of the screen, select Services. |
3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas" |
6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
7 |
Click Go to Node. |
8 |
Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Antes de começar
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
O que fazer em seguida
Trial to Production Task Flow
After you set up a Hybrid Data Security cluster, you can start a pilot, add users to it, and begin using it for testing and verifying your deployment in preparation for moving to production.
Antes de começar
1 |
If applicable, synchronize the If your organization uses directory synchronization for users, you must select the |
2 |
Start a trial. Until you do this task, your nodes generate an alarm indicating that the service is not yet activated. |
3 |
Test Your Hybrid Data Security Deployment Check that key requests are passing to your Hybrid Data Security deployment. |
4 |
Monitor Hybrid Data Security Health Check status, and set up email notifications for alarms. |
5 | |
6 |
Complete the trial phase with one of the following actions: |
Activate Trial
Antes de começar
If your organization uses directory synchronization for users, you must select the HdsTrialGroup
group object for synchronization to the cloud before you can start a trial for your organization. For instructions, see the Deployment Guide for Cisco Directory Connector.
1 |
Sign in to https://admin.webex.com, and then select Services. |
2 |
Under Hybrid Data Security, click Settings. |
3 |
In the Service Status section, click Start Trial. The service status changes to trial mode.
|
4 |
Click Add Users and enter the email address of one or more users to pilot using your Hybrid Data Security nodes for encryption and indexing services. (If your organization uses directory synchronization, use Active Directory to manage the trial group, |
Test Your Hybrid Data Security Deployment
Antes de começar
-
Set up your Hybrid Data Security deployment.
-
Activate the trial, and add several trial users.
-
Ensure that you have access to the syslog to verify that key requests are passing to your Hybrid Data Security deployment.
1 |
Keys for a given space are set by the creator of the space. Sign in to the Webex App as one of the pilot users, and then create a space and invite at least one pilot user and one non-pilot user.
| ||
2 |
Send messages to the new space. | ||
3 |
Check the syslog output to verify that the key requests are passing to your Hybrid Data Security deployment. |
Monitor Hybrid Data Security Health
1 |
In Control Hub, select Services from the menu on the left side of the screen. |
2 |
In the Hybrid Services section, find Hybrid Data Security and click Settings. The Hybrid Data Security Settings page appears.
|
3 |
In the Email Notifications section, type one or more email addresses separated by commas, and press Enter. |
Add or Remove Users from Your Trial
If you remove a user from the trial, the user's client will request keys and key creation from the cloud KMS instead of your KMS. If the client needs a key that is stored on your KMS, the cloud KMS will fetch it on the user's behalf.
If your organization uses directory synchronization, use Active Directory (instead of this procedure) to manage the trial group, HdsTrialGroup
; you can view the group members in Control Hub but cannot add or remove them.
1 |
Sign in to Control Hub, and then select Services. |
2 |
Under Hybrid Data Security, click Settings. |
3 |
In the Trial Mode section of the Service Status area, click Add Users, or click view and edit to remove users from the trial. |
4 |
Enter the email address of one or more users to add, or click the X by a user ID to remove the user from the trial. Em seguida, clique em Salvar. |
Move from Trial to Production
1 |
Sign in to Control Hub, and then select Services. |
2 |
Under Hybrid Data Security, click Settings. |
3 |
In the Service Status section, click Move to Production. |
4 |
Confirm that you want to move all of your users to production. |
End Your Trial Without Moving to Production
1 |
Sign in to Control Hub, and then select Services. |
2 |
Under Hybrid Data Security, click Settings. |
3 |
In the Deactivate section, click Deactivate. |
4 |
Confirm that you want to deactivate the service and end the trial. |
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 |
Inicie sessão no Control Hub. |
2 |
Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 |
Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 |
No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 |
Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
-
Alteração de certificado x.509 devido à expiração ou outras razões.
Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
-
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.
Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
-
Criando uma nova configuração para preparar um novo centro de dados.
Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:
-
Redefinição suave —As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
-
Redefinição forçada —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.
Antes de começar
-
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT
Proxy HTTPS sem autenticação
GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA
Proxy HTTP com autenticação
GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT
Proxy HTTPS com autenticação
GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA
-
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.
1 |
Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 |
Se você tiver apenas um nó HDS em execução , crie um novo nó VM de segurança de dados híbridos e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 |
Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: |
4 |
Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desligar o modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.
Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.
Antes de começar
1 |
Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 |
Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim. |
3 |
Vá para a página de armazenamento de confiança & proxy . |
4 |
Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não. |
O que fazer em seguida
Remover um nó
1 |
Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 |
Remova o nó: |
3 |
No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 |
Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . | ||
2 |
Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 |
Na página Configurações avançadas , adicione a configuração abaixo ou remova a configuração do
| ||
4 |
Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 |
Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 |
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 |
Clique em Editar Configurações > Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados.
| ||
8 |
Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 |
Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 |
Desligue um de seus nós HDS. |
2 |
No vCenter Server Appliance, selecione o nó HDS. |
3 |
Escolha Arquivo ISO do armazenamento de dados . e desmarque |
4 |
Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 |
Repita para cada nó HDS por sua vez. |
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
-
Não é possível criar novos espaços (não é possível criar novas teclas)
-
Os títulos de mensagens e espaços não conseguem descriptografar para:
-
Novos usuários adicionados a um espaço (não é possível buscar chaves)
-
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
-
-
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta |
Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 |
Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 |
Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 |
Entre em contato com o suporte da Cisco . |
Problemas conhecidos de segurança de dados híbridos
-
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
-
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de começar
-
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
-
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
-
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
-
Crie uma chave privada.
-
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 |
Ao receber o certificado do servidor da sua CA, salve-o como |
2 |
Exiba o certificado como texto e verifique os detalhes.
|
3 |
Use um editor de texto para criar um arquivo de pacote de certificado chamado
|
4 |
Crie o arquivo .p12 com o nome
|
5 |
Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o arquivo hdsnode.p12
e a senha que você definiu para ele em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar. |
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
-
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
-
Atualiza para o software do nó
Configurar proxies squid para segurança de dados híbridos
WebSocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket ( wss:
) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS:
o tráfego para a operação adequada dos serviços.
Squid 4 e 5
Adicione a on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol túnel todos
Squid 3.5.27
Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf
. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercúrio-conexão ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
Informações novas e alteradas
Data | Alterações Feitas | ||
---|---|---|---|
20 de outubro de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de maio de 2023 |
| ||
06 de dezembro de 2022 |
| ||
23 de novembro de 2022 |
| ||
13 de outubro de 2021 | O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . | ||
24 de junho de 2021 | Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. | ||
30 de abril de 2021 | Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. | ||
24 de fevereiro de 2021 | A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. | ||
2 de fevereiro de 2021 | O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. | ||
11 de janeiro de 2021 | Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . | ||
13 de outubro de 2020 | Atualizado Baixar arquivos de instalação . | ||
08 de outubro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. | ||
14 de agosto de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. | ||
05 de agosto de 2020 | Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. | ||
16 de junho de 2020 | Atualizado Remova um nó para alterações na interface de usuário do Control Hub. | ||
04 de junho de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. | ||
29 de maio de 2020 | Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. | ||
05 de maio de 2020 | Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5. | ||
21 de abril de 2020 | Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. | ||
1º de abril de 2020 | Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. | ||
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. | ||
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. | ||
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . | ||
19 de novembro de 2019 | Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: | ||
8 de novembro de 2019 | Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade:
| ||
6 de setembro de 2019 | SQL Server Standard adicionado aos requisitos do servidor de banco de dados . | ||
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. | ||
20 de agosto de 2019 | Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . | ||
13 de junho de 2019 | Teste atualizado para o fluxo de tarefas de produção com um lembrete para sincronizar o HdsTrialGroup objeto de grupo antes de iniciar um teste se sua organização usar a sincronização de diretórios. | ||
6 de março de 2019 |
| ||
28 de fevereiro de 2019 |
| ||
26 de fevereiro de 2019 |
| ||
24 de janeiro de 2019 |
| ||
5 de novembro de 2018 |
| ||
19 de outubro de 2018 |
| ||
31 de julho de 2018 |
| ||
21 de maio de 2018 | Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de fevereiro de 2018 |
| ||
15 de fevereiro de 2018 |
| ||
18 de janeiro de 2018 |
| ||
2 de novembro de 2017 |
| ||
18 de agosto de 2017 | Primeira publicação |
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A base dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o data center da sua empresa, para que ninguém além de você mantenha as chaves do seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviço em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS. |
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configure a Segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de Segurança de dados híbridos, o teste da sua implantação com um subconjunto de usuários no modo de teste e, uma vez que o teste esteja completo, a migração para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de Segurança de dados híbridos— A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três, e você pode ter até cinco. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo. |
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de você começar
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
| ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
Após a configuração passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem o passiveMode
configuração e salve-a em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte ao proxy
A Segurança de dados híbridos oferece suporte a proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à sua implantação para que possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e verificar o status geral de conectividade depois de configurar o proxy nos nós.
Os nós de Segurança de dados híbridos suportam as seguintes opções de proxy:
Sem proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Nenhuma atualização do certificado é necessária.
Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Nenhuma atualização do certificado é necessária.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. Os proxies de inspeção são normalmente usados pela TI para aplicar políticas em que sites podem ser visitados e quais tipos de conteúdo não são permitidos. Esse tipo de proxy descriptografa todo o tráfego (até HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
IP/FQDN de proxy — Endereço que pode ser usado para alcançar a máquina de proxy.
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
Protocolo proxy —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
HTTP — Visualiza e controla todas as solicitações que o cliente envia.
HTTPS — Fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
Nenhum —Nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível apenas se você selecionar HTTPS como o protocolo proxy.
Requer que você insira o nome de usuário e a senha em cada nó.
Exemplo de nós e proxy de segurança de dados híbridos
Este diagrama mostra uma conexão de exemplo entre a Segurança de dados híbridos, rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita HTTPS, o mesmo certificado raiz deve ser instalado no proxy e nos nós de Segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (Configurações explícitas de proxy)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele entrará automaticamente no modo de Resolução DNS externa bloqueada. Nesse modo, o registro do nó e outros testes de conectividade de proxy podem continuar.
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
Você deve ter o Pro Pack para o Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " Docker está atualizando e estendendo nossas assinaturas de produtos ".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito | Detalhes |
---|---|
| Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
| O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
| O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
| Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados. |
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) | Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 | Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo | Protocolo | Porta | Direção do aplicativo | Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos | TCP | 443 | HTTPS de saída e WSS |
|
Ferramenta de configuração HDS | TCP | 443 | HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos. |
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região | URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Segurança de dados híbridos.
Proxy transparente — Cisco Web Security Appliance (WSA).
Proxy explícito — Squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
Oferecemos suporte para as seguintes combinações de tipos de autenticação para proxies explícitos:
Nenhuma autenticação com HTTP ou HTTPS
Autenticação básica com HTTP ou HTTPS
Autenticação Digest apenas com HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação neste guia informam como carregar a cópia nos armazenamentos confiáveis dos nós de Segurança de dados híbridos.
A rede que hospeda os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 a rotear através do proxy.
Os proxies que inspecionam o tráfego da web podem interferir nas conexões do web socket. Se esse problema ocorrer, ignorando o tráfego (não inspecionando) para
wbx2.com
eciscospark.com
resolverá o problema.
Conclua os pré-requisitos para a segurança de dados híbridos
1 | Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. | ||
2 | Escolha um nome de domínio para sua implantação HDS (por exemplo, | ||
3 | Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . | ||
4 | Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. | ||
5 | Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. | ||
6 | Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). | ||
7 | Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos.
Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. | ||
8 | Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . | ||
9 | Instale o Docker ( https://www.docker.com) em qualquer máquina local que execute um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da Web que possa acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . | ||
10 | Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . | ||
11 | Se sua organização usa sincronização de diretórios, crie um grupo no Active Directory chamado
|
Fluxo de tarefas de implantação de segurança de dados híbridos
Antes de você começar
1 |
Baixe o arquivo OVA em sua máquina local para uso posterior. | ||
2 | Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos. | ||
3 | Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede.
| ||
4 | Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA. | ||
5 | Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS. | ||
6 | Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário. | ||
7 | Registrar o primeiro nó no grupo Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos. | ||
8 |
Conclua a configuração do grupo. | ||
9 | Executar um teste e mover para a produção (próximo capítulo) Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
Baixar arquivos de instalação
1 | Inicie sessão em https://admin.webex.com e clique em Services . | ||||
2 | Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar . Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização.
| ||||
3 | Selecione No para indicar que você ainda não configurou o nó e clique em Next . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
| ||||
4 | Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível. |
Criar uma ISO de configuração para os organizadores HDS
O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com todos os direitos de administrador para sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
Credenciais do banco de dados
Atualizações do certificado
Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.
1 | Na linha de comando da sua máquina, insira o comando apropriado para seu ambiente: Em ambientes regulares:
Em ambientes FedRAMP:
| ||||||||||||
2 | Para iniciar sessão no registro de imagem do Docker, insira o seguinte:
| ||||||||||||
3 | No prompt de senha, insira este hash:
| ||||||||||||
4 | Baixe a imagem estável mais recente para seu ambiente: Em ambientes regulares:
Em ambientes FedRAMP:
| ||||||||||||
5 | Quando a opção for concluída, insira o comando apropriado para seu ambiente:
Quando o contêiner estiver em execução, você verá "Servidor Express ouvindo na porta 8080". | ||||||||||||
6 |
Use um navegador da Web para ir até o host local, A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão. | ||||||||||||
7 | Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos. | ||||||||||||
8 | Na página Visão geral da ferramenta de configuração, clique em Introdução . | ||||||||||||
9 | Na página ISO Import , você tem estas opções:
| ||||||||||||
10 | Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .
| ||||||||||||
11 | Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal: | ||||||||||||
12 | Selecione um modo de conexão do banco de dados TLS :
Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o assinante do certificado e o nome do organizador, se aplicável. Se um teste falhar, a ferramenta mostrará uma mensagem de erro descrevendo o problema. Você pode escolher se deseja ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.) | ||||||||||||
13 | Na página Registros do sistema, configure seu servidor Syslogd: | ||||||||||||
14 | (Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:
| ||||||||||||
15 | Clique em Continuar na tela Redefinir senha das contas de serviço . As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores. | ||||||||||||
16 | Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar. | ||||||||||||
17 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||||||||||||
18 | Para desligar a ferramenta de configuração, digite |
O que fazer em seguida
Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.
Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la. |
Instalar o OVA do organizador HDS
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi. | ||||||
2 | Selecione File > Implantar modelo OVF . | ||||||
3 | No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo ... | ||||||
4 | No Selecione um nome e uma pasta página, insira uma Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual possa residir e clique em Próximo ... | ||||||
5 | No Selecione um recurso de computação página, escolha o recurso de computação de destino e clique em Próximo ... Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos. | ||||||
6 | Verifique os detalhes do modelo e clique em Próximo . | ||||||
7 | Se você for solicitado a escolher a configuração de recursos no Configuração página, clique <UNK> 4 CPU <UNK> e clique em Próximo ... | ||||||
8 | No Selecionar armazenamento página, clique Próximo para aceitar o formato de disco padrão e a política de armazenamento VM. | ||||||
9 | No Selecionar redes escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM. | ||||||
10 | Na página Personalizar modelo , defina as seguintes configurações de rede:
Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó.
| ||||||
11 | Clique com o botão direito do mouse no VM do nó e selecione .O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão. |
Configurar a VM de segurança de dados híbridos
Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.
1 | No cliente VMware vSphere, selecione a VM do nó de segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
|
2 | Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador. |
3 | Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração . |
4 | Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. |
5 | (Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. |
6 | Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito. |
Carregar e montar o ISO de configuração HDS
Antes de você começar
Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.
1 | Carregue o arquivo ISO do seu computador: |
2 | Monte o arquivo ISO: |
O que fazer em seguida
Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a Segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, poderá usar a interface do nó para carregar e instalar o certificado raiz. Você também pode verificar a conexão de proxy na interface e solucionar quaisquer problemas potenciais.
Antes de você começar
Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
1 | Insira a URL de configuração do nó HDS |
2 | Vá para Trust Store e Proxy e escolha uma opção:
Siga as próximas etapas para obter um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 | Clique em Carregar um certificado raiz ou terminar certificado da entidade e, em seguida, navegue até um escolher o certificado raiz para o proxy. O certificado é carregado, mas ainda não está instalado, porque você deve reinicializar o nó para instalar o certificado. Clique na seta chevron pelo nome do emissor do certificado para obter mais detalhes ou clique em Excluir se você cometeu um erro e deseja recarregar o arquivo. |
4 | Clique em Verificar conexão de proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra a razão e como você pode corrigir o problema. Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não conseguiu acessar o servidor DNS. Essa condição é esperada em muitas configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externo bloqueado. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado . |
5 | Depois que o teste de conexão passar, para o proxy explícito definido apenas como https, ative a alternância para Encaminhar todas as solicitações de https da porta 443/444 desse nó por meio do proxy explícito . Essa configuração requer 15 segundos para entrar em vigor. |
6 | Clique em Instalar todos os certificados no armazenamento confiável (aparece para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou Reinicializar (aparece para um proxy explícito HTTP), leia o aviso e clique em Instalar se estiver pronto. O nó é reinicializado em poucos minutos. |
7 | Depois que o nó for reinicializado, inicie a sessão novamente, se necessário, e abra a página Visão geral para verificar as verificações de conectividade e certificar-se de que todos estejam no status verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Registrar o primeiro nó no grupo
Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Inicie sessão em https://admin.webex.com. |
2 | No menu do lado esquerdo da tela, selecione Services . |
3 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
|
4 | Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo . |
5 | No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas" |
6 | No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
|
7 | Clique em Ir para o nó . |
8 | Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
|
9 | Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
|
10 | Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.
|
Criar e registrar mais nós
Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera . |
Antes de você começar
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 | Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS . |
2 | Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos . |
3 | Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS . |
4 | Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó. |
5 | Registre o nó. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
|
O que fazer em seguida
Teste para o fluxo de tarefas de produção
Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.
Antes de você começar
1 | Se aplicável, sincronize o Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o |
2 |
Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
3 | Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos. |
4 | Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes. |
5 | |
6 | Conclua a fase de teste com uma das seguintes ações: |
Ativar teste
Antes de você começar
Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o HdsTrialGroup
objeto de grupo para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
1 | Inicie sessão em https://admin.webex.com e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
|
4 | Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, |
Teste a implantação de segurança de dados híbridos
Antes de você começar
Configure a implantação de Segurança de dados híbridos.
Ative o teste e adicione vários usuários de teste.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
1 | As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto.
| ||
2 | Envie mensagens para o novo espaço. | ||
3 | Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos. |
Monitorar a integridade da segurança de dados híbridos
1 | No Control Hub , selecione Serviços no menu do lado esquerdo da tela. |
2 | Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
|
3 | Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter . |
Adicionar ou remover usuários do seu teste
Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.
Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup
; você pode visualizar os membros do grupo no Control Hub, mas não pode adicioná-los ou removê-los.
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste. |
4 | Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar . |
Mover do teste para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Status do serviço, clique em Mover para produção . |
4 | Confirme que você deseja mover todos os usuários para a produção. |
Encerre seu teste sem mover para a produção
1 | Inicie sessão no Control Hub e selecione Services . |
2 | Em Segurança de dados híbridos, clique em Configurações . |
3 | Na seção Desativar, clique em Desativar . |
4 | Confirme se você deseja desativar o serviço e encerrar o teste. |
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 | Inicie sessão no Control Hub. |
2 | Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 | Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 | No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 | Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
Alterar certificados x.509 devido a expiração ou outros motivos.
Não há suporte para alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o cluster.
Atualizando as configurações do banco de dados para alterar para uma réplica do banco de dados PostgreSQL ou Microsoft SQL Server.
Não suportamos a migração de dados do PostgreSQL para o Microsoft SQL Server, ou o contrário. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.
Além disso, para fins de segurança, a Segurança de dados híbridos usa senhas de contas de serviço que têm uma vida útil de nove meses. Depois que a ferramenta Configuração HDS gerar essas senhas, você as implantará em cada um dos nós HDS no arquivo de configuração ISO. Quando as senhas da sua organização estiverem quase expirando, você receberá um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar a API da conta da máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta fornece duas opções:
Redefinição suave —As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso afetará o serviço HDS, exigindo uma redefinição forçada imediata e substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.
Antes de você começar
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, execute Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com todos os direitos de administrador para sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sem autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP com autenticação
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS com autenticação
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados do servidor PostgreSQL ou Microsoft SQL. Você precisa da ISO quando fizer alterações na configuração, incluindo credenciais de banco de dados, atualizações de certificado ou alterações na política de autorização.
1 | Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 | Se você tiver apenas um nó HDS em execução , crie um novo nó VM de segurança de dados híbridos e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 | Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó, atualizando cada nó antes de desativar o próximo nó: |
4 | Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desativar modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa DNS e a conectividade com o Cisco Webex em nuvem. Se o servidor DNS do nó não puder resolver nomes DNS públicos, o nó entrará automaticamente no modo de Resolução DNS externa bloqueada.
Se os seus nós forem capazes de resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar esse modo redirecionando o teste de conexão proxy em cada nó.
Antes de você começar
1 | Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 | Vá para Visão geral (a página padrão). Quando ativado, A resolução DNS externa bloqueada é definida como Sim . |
3 | Vá para a página Trust Store e Proxy . |
4 | Clique em Verificar conexão de proxy . Se você vir uma mensagem dizendo que a resolução DNS externa não foi bem-sucedida, o nó não pôde acessar o servidor DNS e permanecerá neste modo. Caso contrário, depois de reinicializar o nó e voltar para a página Overview , a resolução DNS externa bloqueada deve ser definida como não. |
O que fazer em seguida
Remover um nó
1 | Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 | Remova o nó: |
3 | No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 | Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . | ||
2 | Depois de configurar o servidor Syslogd, clique em Configurações avançadas | ||
3 | Na página Configurações avançadas , adicione a configuração abaixo ou remova o
| ||
4 | Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. | ||
5 | Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||
6 | No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. | ||
7 | Clique em Editar configurações > CD/DVD Drive 1 e selecione Arquivo ISO do armazenamento de dados.
| ||
8 | Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. | ||
9 | Repita o processo para cada nó no centro de dados em espera.
|
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de você começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 | Desligue um de seus nós HDS. |
2 | No vCenter Server Appliance, selecione o nó HDS. |
3 | Escolher Arquivo ISO do armazenamento de dados . e desmarque |
4 | Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 | Repita para cada nó HDS por sua vez. |
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
Novos usuários adicionados a um espaço (não é possível buscar chaves)
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta | Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 | Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 | Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 | Entre em contato com o suporte da Cisco . |
Problemas conhecidos de segurança de dados híbridos
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de você começar
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em X.509 Requisitos de Certificado . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 | Ao receber o certificado do servidor da sua CA, salve-o como |
2 | Exiba o certificado como texto e verifique os detalhes.
|
3 | Use um editor de texto para criar um arquivo de pacote de certificados chamado
|
4 | Crie o arquivo .p12 com o nome amigável
|
5 | Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o hdsnode.p12
arquivo e a senha que você definiu para ele, em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar. |
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó
Configurar proxies de Squid para segurança de dados híbridos
O Websocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket ( wss:
) conexões que a Segurança de dados híbridos exige. Essas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar wss:
tráfego para o funcionamento adequado dos serviços.
Squid 4 e 5
Adicionar o on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf
. Essas regras estão sujeitas a alterações à medida que desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Prefácio
Informações novas e alteradas
Data |
Alterações Feitas |
---|---|
20 de outubro de 2023 |
|
07 de agosto de 2023 |
|
23 de maio de 2023 |
|
06 de dezembro de 2022 |
|
23 de novembro de 2022 |
|
13 de outubro de 2021 |
O Docker Desktop precisa executar um programa de instalação antes de instalar os nós HDS. Consulte Requisitos do Docker Desktop . |
24 de junho de 2021 |
Observado que você pode reutilizar o arquivo de chave privada e o CSR para solicitar outro certificado. Consulte Usar OpenSSL para gerar um arquivo PKCS12 para detalhes. |
30 de abril de 2021 |
Alterou o requisito de VM para espaço no disco rígido local para 30 GB. Consulte Requisitos do organizador virtual para obter detalhes. |
24 de fevereiro de 2021 |
A Ferramenta de configuração HDS agora pode ser executada atrás de um proxy. Consulte Criar uma ISO de configuração para os hosts HDS para obter detalhes. |
2 de fevereiro de 2021 |
O HDS agora pode ser executado sem um arquivo ISO montado. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes. |
11 de janeiro de 2021 |
Informações adicionadas sobre a ferramenta de configuração HDS e os proxies para Criar uma ISO de configuração para os hosts HDS . |
13 de outubro de 2020 |
Atualizado Baixar arquivos de instalação . |
08 de outubro de 2020 |
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com comandos para ambientes FedRAMP. |
14 de agosto de 2020 |
Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com alterações no processo de início de sessão. |
05 de agosto de 2020 |
Atualizado Teste a implantação de segurança de dados híbridos para alterações nas mensagens de log. Atualizados Requisitos do organizador virtual para remover o número máximo de organizadores. |
16 de junho de 2020 |
Atualizado Remova um nó para alterações na interface de usuário do Control Hub. |
04 de junho de 2020 |
Atualizado Criar uma ISO de configuração para os hosts HDS para alterações nas configurações avançadas que você pode definir. |
29 de maio de 2020 |
Atualizado Crie uma ISO de configuração para os organizadores HDS para mostrar que você também pode usar TLS com bancos de dados do SQL Server, alterações na IU e outros esclarecimentos. |
05 de maio de 2020 |
Requisitos do organizador virtual atualizados para mostrar um novo requisito do ESXi 6.5. |
21 de abril de 2020 |
Atualizado Requisitos de conectividade externa com novos hosts de CI das Américas. |
1º de abril de 2020 |
Atualizado Requisitos de conectividade externa com informações sobre organizadores de CI regionais. |
20 de fevereiro de 2020 | Atualizado Criar uma ISO de configuração para os hosts HDS com informações sobre a nova tela Configurações avançadas opcionais na ferramenta de configuração HDS. |
04 de fevereiro de 2020 | Requisitos do servidor proxy atualizados. |
16 de dezembro de 2019 | Esclarecido o requisito para que o modo de resolução DNS externo bloqueado funcione em Requisitos do servidor proxy . |
19 de novembro de 2019 |
Informações adicionadas sobre o modo de resolução DNS externo bloqueado nas seguintes seções: |
8 de novembro de 2019 |
Agora você pode definir as configurações de rede para um nó ao implantar o OVA, em vez de depois. Seções seguintes atualizadas em conformidade: A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores. |
6 de setembro de 2019 |
SQL Server Standard adicionado aos requisitos do servidor de banco de dados . |
29 de agosto de 2019 | Adicionado Configure Proxies Squid para Segurança de Dados Híbridos apêndice com orientação sobre a configuração de proxies Squid para ignorar o tráfego de websocket para uma operação adequada. |
20 de agosto de 2019 |
Seções adicionadas e atualizadas para cobrir o suporte de proxy para comunicações de nó de Segurança de dados híbridos na nuvem Webex. Para acessar apenas o conteúdo de suporte de proxy para uma implantação existente, consulte o artigo de ajuda Proxy Support para segurança de dados híbridos e malha de vídeo Webex . |
13 de junho de 2019 | Atualizado Teste para o fluxo de tarefas de produção com um lembrete para sincronizar o objeto HdsTrialGroup grupo antes de iniciar um teste se a sua organização usa a sincronização de diretórios. |
6 de março de 2019 |
|
28 de fevereiro de 2019 |
|
26 de fevereiro de 2019 |
|
24 de janeiro de 2019 |
|
5 de novembro de 2018 |
|
19 de outubro de 2018 |
|
31 de julho de 2018 |
|
21 de maio de 2018 |
Terminologia alterada para refletir a reformulação de marca do Cisco Spark:
|
11 de abril de 2018 |
|
22 de fevereiro de 2018 |
|
15 de fevereiro de 2018 |
|
18 de janeiro de 2018 |
|
2 de novembro de 2017 |
|
18 de agosto de 2017 |
Primeira publicação |
Introdução à segurança de dados híbridos
Visão geral da segurança de dados híbridos
Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A base dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.
Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.
Arquitetura de espaço de segurança
A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios confiáveis, conforme descrito abaixo.
Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.
Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:
-
O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
-
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
-
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
-
A mensagem criptografada é armazenada no território de armazenamento.
Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.
Colaboração com outras organizações
Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.
O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos.
Expectativas para implantar a segurança de dados híbridos
Uma implantação de Segurança de dados híbridos requer comprometimento significativo do cliente e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.
Para implantar a Segurança de dados híbridos, você deve fornecer:
-
Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:
-
Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
-
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.
Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.
Processo de configuração de alto nível
Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos:
Configurar a segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de segurança de dados híbridos, teste sua implantação com um subconjunto de usuários no modo de teste e, uma vez que seu teste esteja concluído, vá para a produção. Isso converte toda a organização para usar o grupo de Segurança de dados híbridos para funções de segurança.
As fases de configuração, teste e produção são abordadas em detalhes nos próximos três capítulos.
-
Mantenha sua implantação de segurança de dados híbridos —A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Control Hub.
-
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.
Modelo de implantação de segurança de dados híbridos
No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.
Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)
O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)
Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.
Os nós ficam ativos quando você os registra no Control Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.
Oferecemos suporte a apenas um único grupo por organização.
Modo de teste de segurança de dados híbridos
Depois de configurar uma implantação de Segurança de dados híbridos, primeiro experimente com um conjunto de usuários piloto. Durante o período de teste, esses usuários usam seu domínio de Segurança de dados híbridos local para chaves de criptografia e outros serviços de domínio de segurança. Seus outros usuários continuam a usar o domínio de segurança em nuvem.
Se você decidir não continuar com a implantação durante o teste e desativar o serviço, os usuários piloto e todos os usuários com quem eles interagiram criando novos espaços durante o período de teste perderão o acesso às mensagens e ao conteúdo. Eles verão "Esta mensagem não pode ser descriptografada" no aplicativo Webex.
Se estiver satisfeito que sua implantação está funcionando bem para os usuários de teste e você está pronto para estender a Segurança de dados híbridos a todos os seus usuários, mova a implantação para produção. Os usuários piloto continuam tendo acesso às chaves que estavam em uso durante o teste. No entanto, você não pode ir e voltar entre o modo de produção e o teste original. Se você precisar desativar o serviço, como para executar a recuperação de desastres, quando você reativar, deverá iniciar um novo teste e configurar o conjunto de usuários piloto para o novo teste antes de voltar para o modo de produção. Se os usuários retêm o acesso aos dados neste ponto depende se você manteve backups do armazenamento de dados chave e do arquivo de configuração ISO para os nós de Segurança de dados híbridos no seu cluster.
Data center de espera para recuperação de desastres
Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.
Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover. O arquivo ISO do centro de dados em espera é atualizado com configurações adicionais que garantem que os nós estejam registrados na organização, mas não lidarão com o tráfego. Portanto, os nós do centro de dados em espera sempre permanecem atualizados com a versão mais recente do software HDS.
Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.
Configuração do centro de dados de espera para recuperação de desastres
Siga as etapas abaixo para configurar o arquivo ISO do centro de dados em espera:
Antes de começar
-
O centro de dados em espera deve espelhar o ambiente de produção de VMs e um banco de dados PostgreSQL ou Microsoft SQL Server de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. (Consulte Centro de dados de espera para recuperação de desastres para obter uma visão geral deste modelo de failover.)
-
Certifique-se de que a sincronização do banco de dados esteja ativada entre o banco de dados de nós de cluster ativo e passivo.
1 |
Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . O arquivo ISO deve ser uma cópia do arquivo ISO original do centro de dados primário no qual as seguintes atualizações de configuração devem ser feitas. |
2 |
Depois de configurar o servidor Syslogd, clique em Configurações avançadas |
3 |
Na página Configurações avançadas , adicione a configuração abaixo para colocar o nó no modo passivo. Nesse modo, o nó será registrado na organização e conectado à nuvem, mas não lidará com nenhum tráfego.
|
4 |
Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. |
5 |
Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. |
6 |
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. |
7 |
Clique em Editar Configurações > Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós. |
8 |
Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. |
9 |
Repita o processo para cada nó no centro de dados em espera. Verifique os syslogs para verificar se os nós estão no modo passivo. Você deve ser capaz de visualizar a mensagem "KMS configurado no modo passivo" no syslogs. |
O que fazer em seguida
Depois de configurar passiveMode
no arquivo ISO e salvá-lo, você pode criar outra cópia do arquivo ISO sem a configuração passiveMode
e salvá-lo em um local seguro. Esta cópia do arquivo ISO sem passiveMode
configurado pode ajudar em um processo de failover rápido durante a recuperação de desastres. Consulte Recuperação de desastres usando o Centro de dados de espera para o procedimento de failover detalhado.
Suporte a proxy
A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.
Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:
-
Nenhum proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
-
Proxy não inspecional transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy não inspecional. Não é necessária nenhuma atualização de certificado.
-
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
-
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
-
IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy.
-
Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
-
Proxy Protocol —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
-
HTTP — exibe e controla todas as solicitações que o cliente envia.
-
HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
-
-
Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
-
Nenhum —Nenhuma autenticação adicional é necessária.
Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
-
Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
Requer que você insira a nome de usuário e a senha em cada nó.
-
Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
Disponível somente se você selecionar HTTPS como o protocolo de proxy.
Requer que você insira a nome de usuário e a senha em cada nó.
-
-
Exemplo de um proxy e nós de segurança de dados híbridos
Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.
Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.
Preparar seu ambiente
Requisitos de segurança de dados híbridos
Requisitos de licença do Cisco Webex
Para implantar a segurança de dados híbridos:
-
Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)
Requisitos da área de trabalho do Docker
Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".
Requisitos do certificado X.509
A cadeia de certificados deve atender aos seguintes requisitos:
Requisito |
Detalhes |
---|---|
|
Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs. |
|
O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN. Escolha um domínio que possa se aplicar às implantações de teste e produção. |
|
O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações. |
|
Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS. |
O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.
Requisitos do organizador virtual
Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:
-
Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
-
VMware ESXi 6.5 (ou posterior) instalado e em execução.
Você deve atualizar se tiver uma versão anterior do ESXi.
-
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor
Requisitos do servidor de banco de dados
Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.
Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento) |
O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres driver JDBC 42.2.5 |
Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ). |
Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server
Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:
-
Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
-
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
-
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
-
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .
A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.
Requisitos de conectividade externa
Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:
Aplicativo |
Protocolo |
Porta |
Direção do aplicativo |
Destino |
---|---|---|---|---|
Nós de segurança de dados híbridos |
TCP |
443 |
HTTPS de saída e WSS |
|
Ferramenta de configuração HDS |
TCP |
443 |
HTTPS de saída |
|
Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos.
As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:
Região |
URLs do organizador de identidade comum |
---|---|
Américas |
|
União Europeia |
|
Canadá |
|
Requisitos do servidor proxy
-
Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
-
Proxy transparente — Cisco Web Security Appliance (WSA).
-
Proxy explícito — squid.
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket (wss:). Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
-
-
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
-
Sem autenticação com HTTP ou HTTPS
-
Autenticação básica com HTTP ou HTTPS
-
Autenticação Digest com apenas HTTPS
-
-
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
-
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
-
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para
wbx2.com
eciscospark.com
.
Conclua os pré-requisitos para a segurança de dados híbridos
1 |
Certifique-se de que sua organização Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub e obtenha as credenciais de uma conta com direitos completos de administrador da organização. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. |
2 |
Escolha um nome de domínio para a implantação do HDS (por exemplo, |
3 |
Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual . |
4 |
Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. |
5 |
Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs. |
6 |
Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514). |
7 |
Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA INRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica. |
8 |
Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa . |
9 |
Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da web que pode acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Sua organização pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa . |
10 |
Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy . |
11 |
Se sua organização usar a sincronização de diretórios, crie um grupo no Active Directory chamado As teclas de um determinado espaço são definidas pelo criador do espaço. Ao selecionar usuários piloto, tenha em mente que, se você decidir desativar permanentemente a implantação de Segurança de dados híbridos, todos os usuários perdem o acesso ao conteúdo nos espaços que foram criados pelos usuários piloto. A perda se torna aparente assim que os aplicativos dos usuários atualizam suas cópias em cache do conteúdo. |
Configurar um grupo de segurança de dados híbridos
Fluxo de tarefas de implantação de segurança de dados híbridos
Antes de começar
1 |
Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA em sua máquina local para uso posterior. |
2 |
Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos. |
3 |
Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede. A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores. |
4 |
Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA. |
5 |
Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS. |
6 |
Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário. |
7 |
Registrar o primeiro nó no grupo Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos. |
8 |
Conclua a configuração do grupo. |
9 |
Executar um teste e mover para a produção (próximo capítulo) Até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
Baixar arquivos de instalação
1 |
Inicie sessão https://admin.webex.com e clique em Services . |
2 |
Na seção de Serviços híbridos, encontre o cartão de Segurança de dados híbridos e clique em Configurar . Se o cartão estiver desativado ou você não o vir, entre em contato com a equipe de conta ou com a organização parceira. Dê a eles o número da sua conta e peça para habilitar sua organização para a Segurança de dados híbridos. Para encontrar o número da conta, clique no equipamento no canto superior direito, ao lado do nome da sua organização. Você também pode baixar o OVA a qualquer momento na seção Help na página Settings . No cartão de Segurança de dados híbridos, clique em Editar configurações para abrir a página. Em seguida, clique em Baixar software de segurança de dados híbridos na Ajuda seção. As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes da Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. |
3 |
Selecione No para indicar que você ainda não configurou o nó e clique em Next . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
|
4 |
Opcionalmente, clique em Abrir guia de implantação para verificar se há uma versão posterior deste guia disponível. |
Criar uma ISO de configuração para os organizadores HDS
O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.
Antes de começar
-
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT
Proxy HTTPS sem autenticação
GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA
Proxy HTTP com autenticação
GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT
Proxy HTTPS com autenticação
GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA
-
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
-
Credenciais do banco de dados
-
Atualizações do certificado
-
Alterações na política de autorização
-
-
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.
1 |
Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: Em ambientes FedRAMP: Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. | ||||||||||
2 |
Para se inscrever no registro de imagem do Docker, insira o seguinte: | ||||||||||
3 |
No prompt de senha, digite este hash: | ||||||||||
4 |
Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: Em ambientes FedRAMP: | ||||||||||
5 |
Quando o pull for concluído, insira o comando apropriado para o seu ambiente:
Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080". | ||||||||||
6 |
A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão. | ||||||||||
7 |
Quando solicitado, insira as credenciais de início de sessão do administrador do Control Hub e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos. | ||||||||||
8 |
Na página Visão geral da ferramenta de configuração, clique em Introdução . | ||||||||||
9 |
Na página ISO Import , você tem estas opções:
| ||||||||||
10 |
Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .
| ||||||||||
11 |
Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal: | ||||||||||
12 |
Selecione um modo de conexão do banco de dados TLS :
Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.) | ||||||||||
13 |
Na página Registros do sistema, configure seu servidor Syslogd: | ||||||||||
14 |
(Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar: | ||||||||||
15 |
Clique em Continuar na tela Redefinir senha das contas de serviço . As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores. | ||||||||||
16 |
Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar. | ||||||||||
17 |
Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. | ||||||||||
18 |
Para encerrar a ferramenta de Configuração, digite |
O que fazer em seguida
Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.
Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.
Instalar o OVA do organizador HDS
1 |
Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi. |
2 |
Selecione File > Implantar modelo OVF . |
3 |
No assistente, especifique o local do arquivo OVA que você baixou anteriormente e, em seguida, clique em Next . |
4 |
Na página Selecione um nome e uma pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Next . |
5 |
Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo . Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos. |
6 |
Verifique os detalhes do modelo e clique em Próximo . |
7 |
Se você for solicitado a escolher a configuração de recursos na página Configuration , clique em 4 CPU e, em seguida, clique em Next . |
8 |
Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento VM. |
9 |
Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM. |
10 |
Na página Personalizar modelo , defina as seguintes configurações de rede:
Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó. A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores. |
11 |
Clique com o botão direito do mouse na VM do nó e, em seguida, escolha .O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão. |
Configurar a VM de segurança de dados híbridos
Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.
1 |
No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
|
2 |
Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador. |
3 |
Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração . |
4 |
Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. |
5 |
(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. |
6 |
Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito. |
Carregar e montar o ISO de configuração HDS
Antes de começar
Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.
1 |
Carregue o arquivo ISO do seu computador: |
2 |
Monte o arquivo ISO: |
O que fazer em seguida
Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.
Configurar o nó HDS para integração de proxy
Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.
Antes de começar
-
Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
1 |
Insira o URL de configuração do nó HDS |
2 |
Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção:
Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS. |
3 |
Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo. |
4 |
Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado . |
5 |
Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor. |
6 |
Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos. |
7 |
Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy. |
Registrar o primeiro nó no grupo
Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.
Antes de começar
-
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
-
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 |
Inicie sessão em https://admin.webex.com. |
2 |
No menu do lado esquerdo da tela, selecione Services . |
3 |
Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurar . A página Registrar o nó de segurança de dados híbridos é exibida.
|
4 |
Selecione Sim para indicar que você configurou o nó e está pronto para registrá-lo e clique em Próximo . |
5 |
No primeiro campo, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas" |
6 |
No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Next . Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
|
7 |
Clique em Ir para o nó . |
8 |
Clique em Continuar na mensagem de aviso. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
|
9 |
Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
|
10 |
Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Control Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido. O nó baixará automaticamente o software mais recente da nuvem.
|
Criar e registrar mais nós
Neste momento, as VMs de backup que você criou no Complete os Pré-requisitos para a Segurança de dados híbridos são organizadores em espera que são usados apenas em caso de recuperação de desastres; eles não são registrados com o sistema até então. Para obter detalhes, consulte Recuperação de desastres usando o Centro de dados de espera .
Antes de começar
-
Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
-
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.
1 |
Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS . |
2 |
Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos . |
3 |
Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS . |
4 |
Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó. |
5 |
Registre o nó. Seu nó está registrado. Observe que até você iniciar um teste, seus nós gerarão um alarme indicando que o serviço ainda não está ativado.
|
O que fazer em seguida
Executar um teste e mover para a produção
Teste para o fluxo de tarefas de produção
Depois de configurar um grupo de Segurança de dados híbridos, você pode iniciar um piloto, adicionar usuários a ele e começar a usá-lo para testar e verificar sua implantação em preparação para mudar para a produção.
Antes de começar
1 |
Se aplicável, sincronize o objeto Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o objeto |
2 |
Inicie um teste. Até você realizar essa tarefa, seus nós gerarão um alarme indicando que o serviço ainda não está ativado. |
3 |
Teste a implantação de segurança de dados híbridos Verifique se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos. |
4 |
Monitorar a integridade da segurança de dados híbridos Verifique o status e configure notificações por e-mail para alarmes. |
5 | |
6 |
Conclua a fase de teste com uma das seguintes ações: |
Ativar teste
Antes de começar
Se sua organização usar a sincronização de diretórios para usuários, você deverá selecionar o objeto HdsTrialGroup
para sincronização com a nuvem antes de iniciar um teste para sua organização. Para obter instruções, consulte o Guia de implantação do Conector de diretórios da Cisco.
1 |
Inicie sessão https://admin.webex.com e, em seguida, selecione Services . |
2 |
Em Segurança de dados híbridos, clique em Configurações . |
3 |
Na seção Status do serviço, clique em Iniciar teste . O status do serviço muda para o modo de teste.
|
4 |
Clique em Adicionar usuários e insira o endereço de e-mail de um ou mais usuários para piloto usando seus nós de Segurança de dados híbridos para serviços de criptografia e indexação. (Se a sua organização usar a sincronização de diretórios, use o Active Directory para gerenciar o grupo de teste, |
Teste a implantação de segurança de dados híbridos
Antes de começar
-
Configure a implantação de Segurança de dados híbridos.
-
Ative o teste e adicione vários usuários de teste.
-
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos.
1 |
As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários piloto e, em seguida, crie um espaço e convide pelo menos um usuário piloto e um usuário não piloto. Se você desativar a implantação de Segurança de dados híbridos, o conteúdo em espaços que os usuários piloto criam não será mais acessível depois que as cópias em cache do cliente das chaves de criptografia forem substituídas. |
2 |
Envie mensagens para o novo espaço. |
3 |
Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos. |
Monitorar a integridade da segurança de dados híbridos
1 |
No Control Hub , selecione Serviços no menu do lado esquerdo da tela. |
2 |
Na seção de Serviços híbridos, encontre a Segurança de dados híbridos e clique em Configurações . A página Configurações de segurança de dados híbridos é exibida.
|
3 |
Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter . |
Adicionar ou remover usuários do seu teste
Se você remover um usuário do teste, o cliente do usuário solicitará chaves e criação de chaves do KMS em nuvem em vez do KMS. Se o cliente precisar de uma chave armazenada em seu KMS, o KMS em nuvem irá buscá-la no nome do usuário.
Se sua organização usar a sincronização de diretórios, use o Active Directory (em vez deste procedimento) para gerenciar o grupo de teste, HdsTrialGroup
; você poderá visualizar os membros do grupo no Control Hub, mas não poderá adicioná-los ou removê-los.
1 |
Inicie sessão no Control Hub e selecione Services . |
2 |
Em Segurança de dados híbridos, clique em Configurações . |
3 |
Na seção Modo de teste da área Status do serviço, clique em Adicionar usuários ou clique em exibir e editar para remover usuários do teste. |
4 |
Insira o endereço de e-mail de um ou mais usuários a serem adicionados ou clique no X por uma ID de usuário para remover o usuário do teste. Em seguida, clique em Salvar. |
Mover do teste para a produção
1 |
Inicie sessão no Control Hub e selecione Services . |
2 |
Em Segurança de dados híbridos, clique em Configurações . |
3 |
Na seção Status do serviço, clique em Mover para produção . |
4 |
Confirme que você deseja mover todos os usuários para a produção. |
Encerre seu teste sem mover para a produção
1 |
Inicie sessão no Control Hub e selecione Services . |
2 |
Em Segurança de dados híbridos, clique em Configurações . |
3 |
Na seção Desativar, clique em Desativar . |
4 |
Confirme se você deseja desativar o serviço e encerrar o teste. |
Gerenciar sua implantação HDS
Gerenciar implantação HDS
Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.
Definir agenda de atualização do grupo
Para definir a agenda de atualização:
1 |
Inicie sessão no Control Hub. |
2 |
Na página Visão geral, em Serviços híbridos, selecione Segurança de dados híbridos . |
3 |
Na página Recursos de segurança de dados híbridos, selecione o grupo. |
4 |
No painel Visão geral à direita, em Configurações de grupo, selecione o nome do grupo. |
5 |
Na página Configurações, em Atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Postpone . |
Alterar a configuração do nó
-
Alteração de certificado x.509 devido à expiração ou outras razões.
Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
-
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.
Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
-
Criando uma nova configuração para preparar um novo centro de dados.
Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:
-
Redefinição suave —As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
-
Redefinição forçada —As senhas antigas param de funcionar imediatamente.
Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.
Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.
Antes de começar
-
A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.
Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:
Descrição
Variável
Proxy HTTP sem autenticação
GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT
Proxy HTTPS sem autenticação
GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA
Proxy HTTP com autenticação
GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT
Proxy HTTPS com autenticação
GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA
-
Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.
1 |
Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. |
2 |
Se você tiver apenas um nó HDS em execução , crie um novo nó VM de segurança de dados híbridos e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . |
3 |
Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: |
4 |
Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga. |
Desligar o modo de resolução DNS externo bloqueado
Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.
Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.
Antes de começar
1 |
Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão . |
2 |
Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim. |
3 |
Vá para a página de armazenamento de confiança & proxy . |
4 |
Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não. |
O que fazer em seguida
Remover um nó
1 |
Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual. |
2 |
Remova o nó: |
3 |
No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .) Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança. |
Recuperação de desastres usando o Centro de dados de espera
O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.
Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:
Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.
1 |
Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS . |
2 |
Depois de configurar o servidor Syslogd, clique em Configurações avançadas |
3 |
Na página Configurações avançadas , adicione a configuração abaixo ou remova a configuração do
|
4 |
Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar. |
5 |
Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração. |
6 |
No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e clique em Editar configurações.. |
7 |
Clique em Editar Configurações > Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós. |
8 |
Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos. |
9 |
Repita o processo para cada nó no centro de dados em espera. Verifique a saída do syslog para verificar se os nós do centro de dados em espera não estão no modo passivo. "KMS configurado no modo passivo" não deve aparecer no syslogs. |
O que fazer em seguida
(Opcional) Desmontar ISO após a configuração HDS
A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.
Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.
Antes de começar
Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.
1 |
Desligue um de seus nós HDS. |
2 |
No vCenter Server Appliance, selecione o nó HDS. |
3 |
Escolha Arquivo ISO do armazenamento de dados . e desmarque |
4 |
Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos. |
5 |
Repita para cada nó HDS por sua vez. |
Solucionar problemas de segurança de dados híbridos
Exibir alertas e solução de problemas
Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:
-
Não é possível criar novos espaços (não é possível criar novas teclas)
-
Os títulos de mensagens e espaços não conseguem descriptografar para:
-
Novos usuários adicionados a um espaço (não é possível buscar chaves)
-
Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
-
-
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia
É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.
Alertas
Se houver um problema com a configuração de Segurança de dados híbridos, o Control Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.
Alerta |
Ação |
---|---|
Falha no acesso ao banco de dados local. |
Verifique se há erros do banco de dados ou problemas de rede local. |
Falha na conexão de banco de dados local. |
Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó. |
Falha no acesso ao serviço em nuvem. |
Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa . |
Renovando o registro do serviço em nuvem. |
O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento. |
Registro do serviço em nuvem removido. |
Registro nos serviços em nuvem encerrado. O serviço está sendo desligado. |
Serviço ainda não ativado. |
Ative um teste ou termine de mover o teste para a produção. |
O domínio configurado não corresponde ao certificado do servidor. |
Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial. |
Falha na autenticação para serviços em nuvem. |
Verifique a precisão e a possível expiração das credenciais da conta de serviço. |
Falha ao abrir o arquivo de keystore local. |
Verifique a integridade e a precisão da senha no arquivo de keystore local. |
O certificado do servidor local é inválido. |
Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável. |
Não foi possível postar métricas. |
Verifique o acesso à rede local para serviços externos em nuvem. |
/media/configdrive/hds directory não existe. |
Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito. |
Solucionar problemas de segurança de dados híbridos
1 |
Revise o Control Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. |
2 |
Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. |
3 |
Entre em contato com o suporte da Cisco . |
Outras notas
Problemas conhecidos de segurança de dados híbridos
-
Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Control Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. Isso se aplica a implantações de teste e produção. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
-
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora). Quando um usuário se torna um membro de um teste de segurança de dados híbridos, o cliente do usuário continua usando a conexão ECDH existente até expirar. Como alternativa, o usuário pode sair e entrar novamente no aplicativo do aplicativo Webex para atualizar o local em que o aplicativo entra em contato com chaves de criptografia.
O mesmo comportamento ocorre quando você move um teste para a produção para a organização. Todos os usuários sem teste com conexões ECDH existentes para os serviços de segurança de dados anteriores continuarão a usar esses serviços até que a conexão ECDH seja renegociada (através do tempo limite ou fazendo logoff e logon novamente).
Use o OpenSSL para gerar um arquivo PKCS12
Antes de começar
-
OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
-
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
-
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
-
Crie uma chave privada.
-
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).
1 |
Ao receber o certificado do servidor da sua CA, salve-o como |
2 |
Exiba o certificado como texto e verifique os detalhes.
|
3 |
Use um editor de texto para criar um arquivo de pacote de certificado chamado
|
4 |
Crie o arquivo .p12 com o nome
|
5 |
Verifique os detalhes do certificado do servidor. |
O que fazer em seguida
Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o arquivo hdsnode.p12
e a senha que você definiu para ele em Criar uma ISO de configuração para os Hosts HDS .
Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.
Tráfego entre os nós HDS e a nuvem
Tráfego de coleta de métricas de saída
Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).
Tráfego De Entrada
Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:
-
Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
-
Atualiza para o software do nó
Configurar proxies squid para segurança de dados híbridos
WebSocket não pode se conectar através do proxy Squid
Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket ( wss:
) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS:
o tráfego para a operação adequada dos serviços.
Squid 4 e 5
Adicione a on_unsupported_protocol
diretiva para squid.conf
:
on_unsupported_protocol túnel todos
Squid 3.5.27
Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf
. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.
acl wssMercuryConnection ssl::server_name_regex mercúrio-conexão ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all