Guia de implantação para segurança de dados híbrida multilocatário (HDS) (Beta)

Informações novas e alteradas

Esta tabela abrange novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros importantes que foram corrigidos no Guia de implantação para a segurança de dados híbridos de vários locatários .

Data	Alterações feitas
13 de dezembro de 2024	Primeiro lançamento.

Desativar segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador total do Parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários .
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogue CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os seus grupos, conforme mencionado em Remover um nó .
4	Exclua todos os grupos do Partner Hub usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página Recursos, clique... no lado direito de um grupo e selecione Remover grupo .
5	Clique na guia Configurações na página Visão geral da Segurança de dados híbridos e clique em Desativar HDS no cartão de Status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança dos dados tem sido o foco principal no design do aplicativo Webex. A base dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS da nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode agir como provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações do cliente estejam protegidos contra o acesso externo. As organizações parceiras configuram instâncias HDS e criam grupos HDS conforme necessário. Cada ocorrência pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdo gerados pelos clientes. Esse acesso é limitado às organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como os centros de dados, são de propriedade do parceiro local confiável.

Como a segurança de dados híbridos multilocatários fornece soberania de dados e controle de dados

O conteúdo gerado pelo usuário é protegido de acesso externo, como provedores de serviços em nuvem.
Os parceiros confiáveis locais gerenciam as chaves de criptografia dos clientes com os quais eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecida pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Funções na segurança de dados híbridos multilocatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes que o parceiro gerencia. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações dos clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador completo - Administrador da organização parceira autorizada a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Administrador total de parceiros e direitos de administrador total necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador completos necessários.

Arquitetura de espaço de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios confiáveis, conforme descrito abaixo.

***Reinos da separação (sem segurança de dados híbridos)***

Para entender melhor a Segurança de dados híbridos, primeiro vamos analisar este caso de nuvem pura, em que a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no centro de dados B. Ambos são, por sua vez, separados do território onde o conteúdo criptografado é finalmente armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, o que cria índices de pesquisa criptografados para ajudar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada para o serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos reinos da Cisco.

Colaboração com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos em outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), seu KMS envia a chave ao cliente por um canal protegido pelo ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.

O serviço KMS em execução na organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos de vários locatários.

Expectativas para implantar a segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um centro de dados seguro em um país que é um local suportado para os planos do Cisco Webex Teams .
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas o novo conteúdo será visível. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e da ISO de configuração.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco de banco de dados ou desastre do centro de dados.

Não há mecanismo para mover as chaves de volta para a nuvem após uma implantação HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos multilocatários:

Configurar a segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de segurança de dados híbridos, criação de um cluster HDS, adição de organizações de locatários ao cluster e gerenciamento de suas chaves principais do cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos —A nuvem Webex fornece automaticamente atualizações em andamento. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Partner Hub.
Entender alertas comuns, etapas de solução de problemas e problemas conhecidos —Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o Apêndice de Problemas Conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

No data center da empresa, você implanta a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com o Webex em nuvem por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs fornecidas por você. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você monta em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados do PostgreSQL ou do Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro no mesmo servidor syslog. Os próprios nós são apátridos e lidam com os principais pedidos na forma round-robin, conforme dirigido pela nuvem.

Os nós ficam ativos quando você os registra no Partner Hub. Para tirar um nó individual do serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center de espera para recuperação de desastres

Durante a implantação, você configura um centro de dados de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação para o centro de dados em espera.

Antes do failover, o Data Center A possui nós HDS ativos e o banco de dados PostgreSQL ou Microsoft SQL Server primário, enquanto B tem uma cópia do arquivo ISO com configurações adicionais, VMs que estão registradas na organização e um banco de dados em espera. Após o failover, o Data Center B possui nós HDS ativos e o banco de dados primário, enquanto A possui VMs não registradas e uma cópia do arquivo ISO, e o banco de dados está no modo de espera. — ***Failover manual para centro de dados de espera***

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo gasto para executar o failover.

Os nós de Segurança de dados híbridos ativos devem estar sempre no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Nenhum proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy não inspecional transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy não inspecional. Não é necessária nenhuma atualização de certificado.
tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy.
2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.
3. Proxy Protocol —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:
  - Nenhum —Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos para segurança de dados híbridos multilocatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações de parceiros: Entre em contato com seu parceiro ou gerente de conta da Cisco e verifique se o recurso de Vários Locatários está ativado.
Organizações de locatários: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos da área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente o modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos do certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma CA (autoridade de certificação) confiável	Por padrão, confiamos nos CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Urna um nome de domínio de Nome Comum (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa estar acessível ou ser um organizador ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com` . O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio que esteja definido nos campos SAN x.509v3. Depois que você registrar um nó com este certificado, não ofereceremos suporte à alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e todos os certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração HDS.

O software KMS não impõe o uso de chaves ou restrições estendidas de uso de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como a autenticação do servidor. Não há problema em usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você configurará como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro
VMware ESXi 6.5 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, memória principal de 8 GB, espaço de disco rígido local de 30 GB por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
PostgreSQL	Microsoft SQL Server
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que ele não seja excedido (2-TB recomendado se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL	Microsoft SQL Server
Postgres driver JDBC 42.2.5	Driver JDBC do SQL Server 4.6 Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

PostgreSQL

Microsoft SQL Server

Postgres driver JDBC 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver suporta o SQL Server Always On ( Always On Failover Cluster Instances e Always On availability groups ).

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Se você quiser que os nós HDS usem a autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser todos sincronizados com o NTP.
A conta do Windows que você fornecer aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de Distribuição de Chave (KDC).
Você pode registrar a instância de banco de dados HDS no Microsoft SQL Server como um Nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos .

A ferramenta de configuração HDS, o lançador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade nos aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores da Common Identity Outras URLs listadas para segurança de dados híbridos nas URLs adicionais para serviços híbridos Webex tabela de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores da Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com a tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve ser visível da Internet. No seu data center, os clientes precisam de acesso aos nós de Segurança de dados híbridos nas portas TCP 443 e 22, para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas de região. Estes são os hosts de CI atuais:

Região	URLs do organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket (wss:). Para solucionar esse problema, consulte Configurar proxies de Squid para segurança de dados híbridos .
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar o cluster de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS multilocatário ativado e obtenha as credenciais de uma conta com o administrador total do parceiro e os direitos de administrador total. Certifique-se de que sua organização de cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para a implantação do HDS (por exemplo, `hds.company.com` ) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em X.509 Requisitos de Certificado .
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no seu grupo. Você precisa de pelo menos dois organizadores separados (3 recomendado) colocados no mesmo centro de dados seguro, que atendam aos requisitos em Requisitos do organizador virtual .
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os requisitos do servidor de banco de dados . O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados—não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do organizador ou endereço IP (organizador) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para recuperação rápida de desastres, configure um ambiente de backup em um centro de dados diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no cluster. Reúna seu endereço de rede e a porta syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host do syslog. No mínimo, para evitar perda de dados irrecuperável, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA INRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam em cache as chaves, de modo que uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente ao longo do tempo. Embora interrupções temporárias sejam impossíveis de prevenir, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados de clientes irrecuperáveis. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o centro de dados de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa .
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um SO compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou acima) com um navegador da web que pode acessá-lo em http://127.0.0.1:8080. Você usa a instância do Docker para baixar e executar a Ferramenta de configuração HDS, que constrói as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa .
10	Se você estiver integrando um proxy com a segurança de dados híbridos, certifique-se de que ele atenda aos requisitos do servidor proxy .

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA em sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a Ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como as configurações de rede. A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as definiu no momento da implantação OVA.
5	Carregar e montar o ISO de configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registrar o primeiro nó no cluster Registre a VM com o Cisco Webex em nuvem como um nó de Segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Partner Hub.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configura como nós de segurança de dados híbridos). Você usa este arquivo mais tarde no processo de instalação.

1	Inicie sessão no Partner Hub e clique em Services .
2	Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Configurar .
3	Clique em Adicionar um recurso e clique em Baixar arquivo .OVA no Instalar e Configurar Software cartão. As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes da Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento da seção Help . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local na sua máquina.
4	Opcionalmente, clique em Ver guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador totais.

Se a ferramenta Configuração HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT

Proxy HTTPS sem autenticação

GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA

Proxy HTTP com autenticação

GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT

Proxy HTTPS com autenticação

GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp: estável

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

docker login -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker pull ciscocitg/hds-setup: estável

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp: estável

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

 docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o http://127.0.0.1:8080 localhost e inserir o nome de usuário do administrador no Partner Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página Visão geral da ferramenta de configuração, clique em Introdução .

9

Na página ISO Import , você tem estas opções:

Não —Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim —Se você já criou nós HDS, selecione o arquivo ISO na navegação e carregue-o.

10

Verifique se seu certificado X.509 atende aos requisitos nos requisitos do certificado X.509 .

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar .
Se o seu certificado estiver OK, clique em Continuar .
Se o certificado tiver expirado ou você quiser substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar .

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados principal:

Selecione seu Tipo de banco de dados ( PostgreSQL ou Microsoft SQL Server ).

Se você escolher Microsoft SQL Server , você terá um campo de tipo de autenticação.
( Microsoft SQL Server apenas) Selecione seu Tipo de autenticação :
- Autenticação básica : Você precisa de um nome de conta local do SQL Server no campo Username .
- Autenticação do Windows : Você precisa de uma conta do Windows no formato username@DOMAIN no campo Username .
Insira o endereço do servidor de banco de dados no formulário : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando autenticação do Windows, deverá inserir um Nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados .
Insira o Nome de usuário e Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um modo de conexão do banco de dados TLS :

Mode	Descrição
Preferir TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados . Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Database host e porta . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carrega o certificado raiz (se necessário) e clica em Continuar , a ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Por causa das diferenças de conectividade, os nós HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da Ferramenta de configuração HDS não possa testá-la com êxito.)

13

Na página Registros do sistema, configure seu servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós do grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o registro no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar o servidor para usar a criptografia TLS, verifique O servidor syslog está configurado para criptografia SSL?.

Se você marcar essa caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514 .
No menu suspenso Escolher terminação do registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher ou Newline é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Newline -- \n —Selecione essa opção para Graylog e Rsyslog TCP.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas . Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxTamanho: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem quase expirando ou você deseja redefini-las para invalidar os arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO . Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO em seu sistema local.

Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração.

18

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou do Microsoft SQL Server.

Nós nunca temos uma cópia desta chave e não podemos ajudar se você perdê-la.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione File > Implantar modelo OVF .
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e, em seguida, clique em Next .
4	Na página Selecione um nome e uma pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS _ N ode_ 1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Next .
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo . Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo .
7	Se você for solicitado a escolher a configuração de recursos na página Configuration , clique em 4 CPU e, em seguida, clique em Next .
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host —Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do organizador definido para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço IP — Insira o endereço IP para a interface interna do nó. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. Mask —Insira o endereço de máscara de sub-rede na notação decimal por ponto. Por exemplo, 255.255.255.0 . Gateway —Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como um ponto de acesso para outra rede. Servidores DNS —Insira uma lista separada por vírgulas de servidores DNS, que lidam com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP —Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós em um cluster sejam acessíveis a partir de clientes em sua rede para fins administrativos. Se preferir, você pode ignorar a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações no console do nó. A opção para definir as configurações de rede durante a implantação OVA foi testada com o ESXi 6.5. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Power > Power On . O software de Segurança de dados híbridos é instalado como um convidado no VM Host. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os contêineres do nó aparecerem. Uma mensagem de firewall de ponte é exibida no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as configurou no momento da implantação OVA.

1	No cliente VMware vSphere, selecione a VM do nó de Segurança de dados híbridos e selecione a guia Console . A VM é inicializada e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter .
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `Cisco` Como você está iniciando sessão na sua VM pela primeira vez, será necessário alterar a senha do administrador.
3	Se você já tiver configurado as configurações de rede em Instale o OVA do organizador HDS , pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, Máscara, Gateway e DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o(s) nome(s) do host, domínio ou servidor(es) NTP, se necessário para corresponder à sua política de rede. Não é necessário definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar o ISO de configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO contém a chave mestra, ele só deve ser exposto de forma "precisa saber", para acesso pelas VMs de segurança de dados híbridos e quaisquer administradores que possam precisar fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Storage .
Na lista Datastores, clique com o botão direito do mouse no datastore para suas VMs e clique em Procurar Datastore .
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo .
Navegue até o local onde você baixou o arquivo ISO em seu computador e clique em Abrir .
Clique em Sim para aceitar o aviso de operação de carregamento/download e fechar a caixa de diálogo do armazenamento de dados.

2

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique em CD/DVD Drive 1 , selecione a opção de montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar .
Salve as alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós pegarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Nenhum proxy —A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir nenhuma alteração para funcionar com um proxy que não seja inspecionado. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação: Nenhum —Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no cluster

Essa tarefa utiliza o nó genérico que você criou na Configurar a VM de segurança de dados híbridos , registra o nó com a nuvem Webex e o transforma em um nó de segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó é atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar .
4	Na página que é aberta, clique em Adicionar um recurso .
5	No primeiro campo de Adicionar um nó card, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base em onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Esse endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos . Uma mensagem é exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó . Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
8	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido na guia Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up em seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual do OVA, repetindo as etapas em Instale o OVA do organizador HDS .
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos .
3	Na nova VM, repita as etapas em Carregar e Monte o ISO de configuração HDS .
4	Se estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Exibir tudo . A página Recursos de segurança de dados híbridos é exibida. O grupo recém-criado aparecerá na página Resources . Clique no grupo para visualizar os nós atribuídos ao grupo. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Add . Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você será redirecionado para os testes de conectividade do nó dos serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja dar permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar . Sua conta é validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Nó adicionado mensagem pop-up também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar HDS multilocatários no Hub de parceiros

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS multilocatário com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações .
4	Clique em Ativar HDS no cartão Status HDS.

Adicionar organizações de locatários no Partner Hub

Nesta tarefa, você atribui organizações de clientes ao seu Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Clique no grupo ao qual deseja que um cliente seja atribuído.
5	Vá para a guia Clientes atribuídos .
6	Clique em Adicionar clientes .
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar , o cliente será adicionado ao grupo.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique Done na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar teclas principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao grupo apropriado, conforme detalhado em Adicionar organizações de locatários no Partner Hub . Execute a ferramenta de configuração HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA`
Proxy HTTP com autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp: estável` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup: estável` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp: estável`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página Visão geral da ferramenta de configuração, clique em Introdução .
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o. Garanta a conectividade com seu banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Criar CMK para todos os ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e clique em Criar CMKs para criar CMKs para todas as organizações recém-adicionadas. Clique… perto do status pendente de gerenciamento do CMK de uma organização específica na tabela e clique em Criar CMK para criar CMK para essa organização.
12	Depois que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento CMK pendente para CMK gerenciado .
13	Se a criação do CMK falhar, um erro será exibido.

Remover organizações de locatário

Antes de começar

Depois de removidos, os usuários de organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de conta da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Na guia Resources , clique no grupo do qual você deseja remover as organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos .
6	Na lista de organizações de clientes que são exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do grupo .

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários . Execute a ferramenta de configuração HDS para concluir o processo de remoção para as organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA`
Proxy HTTP com autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações do certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação PostgreSQL ou SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, use a ISO para configurar o organizador de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp: estável` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup: estável` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp: estável`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. Em seguida, a ferramenta exibe o aviso de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página Visão geral da ferramenta de configuração, clique em Introdução .
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Revogar CMK para todos os ORGs ou Revogar CMK - Clique neste botão no banner na parte superior da tela para revogar CMKs de todas as organizações que foram removidas. Clique Gerenciar CMKs botão no lado direito da tela e clique em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique … perto do CMK a ser revogado status de uma organização específica na tabela e clique em Revogar CMK para revogar o CMK para essa organização específica.
12	Depois que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação do CMK falhar, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste a implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos multilocatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos de vários locatários.

1

As teclas de um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços que os usuários criam não será mais acessível depois que as cópias armazenadas em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens para o novo espaço.

3

Verifique a saída do syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação da Segurança de dados híbridos.

Para verificar se um usuário primeiro está estabelecendo um canal seguro para o KMS, filtre kms.data.method=create and kms.data.type=EPHEMERAL _ KEY _ COLLECTION :

Você deve encontrar uma entrada como a seguinte (identificadores encurtados para legibilidade):

2020-07-21 17:35:34.562 (+0000) INFORMAÇÕES KMS [pool-14-thread-1] - [KMS:REQUEST] recebidas, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX _ TRACKINGID=HdsIntT est_d[~]0,  kms.data.method=create , kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us,  kms.data.type=EPHEMERAL _ KEY _ COLLECTION , kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=recuperar e kms.data.type=KEY :

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) INFORMAÇÕES KMS [pool-14-thread-31] - [KMS:REQUEST] recebidas, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX _ TRACKINGID=HdsIntT est_f[~]0,  kms.data.method=retrieve , kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com,  kms.data.type=KEY , kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de uma nova chave KMS, filtre kms.data.method=create and kms.data.type=KEY _ COLLECTION :

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) INFORMAÇÕES KMS [pool-14-thread-33] - [KMS:REQUEST] recebidas, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX _ TRACKINGID=HdsIntT est_ 4[~]0,  kms.data.method=create , kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null,  kms.data.type=KEY _ COLLECTION , kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo KMS Resource Object (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create and kms.data.type=RESOURCE _ COLLECTION :

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) INFORMAÇÕES KMS [pool-15-thread-1] - [KMS:REQUEST] recebidas, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX _ TRACKINGID=HdsIntT est_d[~]0,  kms.data.method=create , kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null,  kms.data.type=RESOURCE _ COLLECTION , kms.data.requestId=d[~]e, kms.data.userId=1[~]b

Monitorar a integridade da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação da Segurança de dados híbridos de vários locatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes de impacto no serviço.

1	No Partner Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações . A página Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter .

Gerencie sua implantação HDS

Gerenciar implantação HDS

Use as tarefas descritas aqui para gerenciar a implantação da Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualização do grupo. Quando uma atualização de software ficar disponível, você terá a opção de atualizar manualmente o grupo antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão de 3:00 Daily United States: América/Los Angeles. Você também pode optar por adiar uma próxima atualização, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Services .
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página Recursos de segurança de dados híbridos, selecione o grupo.
5	Clique na guia Configurações de grupo .
6	Na página Configurações do grupo, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: Sob o fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave —As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se a ferramenta Configuração HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e . Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA`
Proxy HTTP com autenticação	`GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp: estável` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup: estável` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp: estável` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Partner Hub e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para encerrar a ferramenta de Configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução , crie um novo nó VM de segurança de dados híbridos e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `Unidade de CD/DVD 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Partner Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página Recursos de segurança de dados híbridos.
Selecione o grupo para exibir o painel de Visão geral.
Clique no nó que deseja remover.
Clique em Cancelar registro deste nó no painel que aparece à direita
Você também pode cancelar o registro do nó clicando … no lado direito do nó e selecionando Remover este nó .

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir .)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Centro de dados de espera

O serviço mais crítico que o seu grupo de Segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário da organização atribuída à Segurança de dados híbridos, as novas solicitações de criação de chaves são roteadas para o grupo. O grupo também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o grupo executa a função crítica de fornecer essas chaves, é imperativo que o grupo permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA INRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário não esteja disponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Desregistrar todos os nós do Hub de parceiros conforme mencionado em Remover um nó . Use o arquivo ISO mais recente que foi configurado em relação aos nós do grupo que estava anteriormente ativo para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os Hosts HDS .
2	Conclua o processo de configuração e salve o arquivo ISO em um local que seja fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO em seu sistema local. Mantenha a cópia de backup segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restringir o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações na configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar Configurações > Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Connected e Connect ao ligar estejam marcadas para que as alterações de configuração atualizadas possam entrar em vigor após o início dos nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no grupo .
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, desregistre os nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário, conforme mencionado acima.

(Opcional) Desmontar ISO após a configuração HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO continuamente montados. Você pode desmontar o arquivo ISO depois que todos os nós HDS pegarem a nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Ao criar uma nova ISO ou atualizar uma ISO por meio da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os seus nós tiverem captado as alterações de configuração, você poderá desmontar a ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um de seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Escolha Editar Configurações > Unidade de CD/DVD e desmarque Arquivo ISO do armazenamento de dados .
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por sua vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Uma implantação de Segurança de dados híbridos é considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicita tempo limite. Se os usuários não conseguirem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas teclas)
Os títulos de mensagens e espaços não conseguem descriptografar para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar as chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que os clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e aborde quaisquer alertas prontamente para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas cobrem muitos cenários comuns.

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros do banco de dados ou problemas de rede local.
Falha na conexão de banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais da conta de serviço correta foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex, conforme especificado nos Requisitos de conectividade externa .
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi interrompido. A renovação do registro está em andamento.
Registro do serviço em nuvem removido.	Registro nos serviços em nuvem encerrado. O serviço está sendo desligado.
Serviço ainda não ativado.	Ative o HDS no Hub de parceiros.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação para serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo de keystore local.	Verifique a integridade e a precisão da senha no arquivo de keystore local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível postar métricas.	Verifique o acesso à rede local para serviços externos em nuvem.
/media/configdrive/hds directory não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se ele é montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs para organizações de locatários recém-adicionadas usando a Ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Partner Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para atividade a partir da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco .

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Partner Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. No momento, não temos uma solução alternativa ou solução para esse problema e pedimos que você não desligue os serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que possui uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Use o OpenSSL para gerar um arquivo PKCS12

Antes de começar

OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato apropriado para o carregamento na ferramenta de configuração HDS. Existem outras maneiras de fazer isso, e nós não apoiamos ou promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de Certificado X.509 . Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Consulte https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da autoridade de certificação (CA).

1	Ao receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem` .
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificado chamado `hdsnode-bundle.pem` . O arquivo em lote deve incluir o certificado do servidor, todos os certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO----- ### Certificado do servidor. ### -----FINALIZAR CERTIFICADO--------INICIAR CERTIFICADO------ ### Certificado CA intermediário. ### -----FINALIZAR CERTIFICADO--------INICIAR CERTIFICADO------ ### Certificado CA raiz. ### -----FINALIZAR CERTIFICADO-----`
4	Crie o arquivo .p12 com o nome `kms-private-key` . `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no aviso para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key` . Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Digite Importar senha: MAC verificado OK Bag Atributos friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 37 32 35 30 39 33 31 34 Principais atributos: Insira a senha PEM: Verificando - Insira a senha do PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- -----FINALIZAR CHAVE PRIVADA CRIPTOGRAFADA------ Bag Atributos friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 37 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----INICIAR CERTIFICADO----- -----FINALIZAR CERTIFICADO------Sacola Atributos friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----INICIAR CERTIFICADO----- -----END CERTIFICATE-----

O que fazer em seguida

Retornar ao Conclua os pré-requisitos para a segurança de dados híbridos . Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os Hosts HDS .

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga de CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou comprimento de fila de solicitação; métricas no armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).

Tráfego De Entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualiza para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket ( wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva para squid.conf :

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercúrio-conexão ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela abrange novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros importantes que foram corrigidos no Guia de implantação para a segurança de dados híbridos de vários locatários .

Data	Alterações feitas
08 de janeiro de 2025	Adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do organizador virtual, Fluxo de tarefas de implantação de segurança de dados híbridos e Instalar o OVA do organizador HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeiro publicado.

Desativar segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador total do Parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários .
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogue CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os seus grupos, conforme mencionado em Remover um nó .
4	Exclua todos os grupos do Partner Hub usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página Recursos, clique... no lado direito de um grupo e selecione Remover grupo .
5	Clique na guia Configurações na página Visão geral da Segurança de dados híbridos e clique em Desativar HDS no cartão de Status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal na criação do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada por clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode agir como provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações do cliente estejam protegidos contra o acesso externo. As organizações parceiras configuram instâncias HDS e criam grupos HDS conforme necessário. Cada ocorrência pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdo gerados pelos clientes. Esse acesso é limitado às organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como os centros de dados, são de propriedade do parceiro local confiável.

Como a segurança de dados híbridos multilocatários fornece soberania de dados e controle de dados

O conteúdo gerado pelo usuário é protegido de acesso externo, como provedores de serviços em nuvem.
Os parceiros confiáveis locais gerenciam as chaves de criptografia dos clientes com os quais eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecida pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Funções na segurança de dados híbridos multilocatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes que o parceiro gerencia. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações dos clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador completo - Administrador da organização parceira autorizada a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Administrador total de parceiros e direitos de administrador total necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador completos necessários.

Arquitetura de domínio de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios de confiança, conforme descrito abaixo.

***Domínios de separação (sem segurança de dados híbridos)***

Para entender ainda mais a Segurança de dados híbridos, vamos primeiro dar uma olhada neste caso de nuvem pura, onde a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, está lógica e fisicamente separado do domínio de segurança no centro de dados B. Ambos, por sua vez, estão separados do domínio onde o conteúdo criptografado é armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compor uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa o ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente envia-o para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em pesquisas futuras do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos domínios da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos de outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), o KMS envia a chave para o cliente por meio de um canal protegido por ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave ao seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos de vários locatários.

Expectativas para implantação da segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um data center seguro em um país que é um local compatível com os planos do Cisco Webex Teams.
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptogravem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas novos conteúdos ficarão visíveis. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e a configuração ISO.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco do banco de dados ou desastre do centro de dados.

Não há nenhum mecanismo para mover as teclas de volta para a nuvem após uma implantação do HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos multilocatários:

Configurar a segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de segurança de dados híbridos, criação de um cluster HDS, adição de organizações de locatários ao cluster e gerenciamento de suas chaves principais do cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos—A nuvem Webex fornece automaticamente atualizações contínuas. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Partner Hub.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o apêndice de Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Dentro do data center corporativo, você implementa a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornecer. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você montar em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Configure os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração do HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro para o mesmo servidor syslog. Os nós em si são sem estado e lidam com as principais solicitações de forma redonda, conforme direcionado pela nuvem.

Os nós ficam ativos quando você os registra no Partner Hub. Para tirar um nó individual de serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center em espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação no centro de dados em espera.

Antes do failover, o Centro de Dados A tem nós HDS ativos e o banco de dados primário PostgreSQL ou Microsoft SQL Server, enquanto o B tem uma cópia do arquivo ISO com configurações adicionais, VMs que estão registradas na organização e um banco de dados de espera. Após o failover, o Centro de dados B tem nós HDS ativos e o banco de dados primário, enquanto o A tem VMs não registradas e uma cópia do arquivo ISO e o banco de dados está no modo de espera. — ***Failover manual para o data center em espera***

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo necessário para executar o failover.

Os nós de Segurança de dados híbridos ativos devem sempre estar no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy — O padrão se você não usar a configuração do nó HDS Trust Store & Proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy.
2. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy.
3. Protocolo proxy—Dependendo do que o servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos para segurança de dados híbridos multilocatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações de parceiros: Entre em contato com seu parceiro ou gerente de conta da Cisco e verifique se o recurso de Vários Locatários está ativado.
Organizações de locatários: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos de área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de configuração. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos de certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Quadro 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma autoridade de certificação (CA) confiável	Por padrão, confiamos nas CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio Common Name (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa ser acessível ou um host ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não suportamos a alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe o uso da chave ou restrições de uso de chave estendidas. Algumas autoridades de certificação exigem que restrições estendidas de uso de chave sejam aplicadas a cada certificado, como a autenticação do servidor. Está tudo bem para usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você irá configurar como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendados) colocados no mesmo centro de dados seguro
O VMware ESXi 7.0 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
Categoria: PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

Categoria: PostgreSQL	Servidor Microsoft SQL
Controlador JDBC 42.2.5	Controlador do SQL Server JDBC 4.6 Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Categoria: PostgreSQL

Servidor Microsoft SQL

Controlador JDBC 42.2.5

Controlador do SQL Server JDBC 4.6

Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Requisitos adicionais para autenticação do Windows contra o Microsoft SQL Server

Se você quiser que os nós HDS usem autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, você precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de distribuição de chaves (KDC).
Você pode registrar a instância do banco de dados HDS no Microsoft SQL Server como um nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração HDS, o iniciador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes de sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores do Common Identity Outras URLs listadas para Segurança de dados híbridos na tabela de URLs adicionais para serviços híbridos Webex de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores do Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve estar visível da internet. No seu data center, os clientes precisam acessar os nós de Segurança de dados híbridos nas portas TCP 443 e 22 para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas da região. Estes são os organizadores atuais do CI:

Região	URLs de organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:). Para contornar esse problema, consulte Configurar Squid Proxies para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você está pronto para instalar e configurar o grupo de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS multilocatário ativado e obtenha as credenciais de uma conta com o administrador total do parceiro e os direitos de administrador total. Certifique-se de que sua organização de cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de conta da Cisco para obter ajuda com este processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para sua implantação HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no grupo. Você precisa de pelo menos dois organizadores separados (3 recomendados) colocados no mesmo data center seguro, que atendam aos requisitos em Requisitos do organizador virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar esse banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Colete os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma rápida recuperação de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no grupo. Reúna seu endereço de rede e a porta de syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host syslog. No mínimo, para evitar a perda de dados irrecuperáveis, você deve fazer o backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves, de modo que uma interrupção pode não ser imediatamente percebida, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (nenhum backup disponível) do banco de dados ou arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise de 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Você usa a ocorrência do Docker para baixar e executar a Ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte os Requisitos de desktop do Docker para obter mais informações. Para instalar e executar a Ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com Segurança de dados híbridos, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.
5	Carregar e montar a ISO da configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registrar o primeiro nó no cluster Registre a VM com o Cisco Webex Cloud como um nó de segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Partner Hub.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós de Segurança de dados híbridos). Você pode usar esse arquivo mais tarde no processo de instalação.

1	Inicie sessão no Partner Hub e clique em Services .
2	Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Configurar . Clicar em Configurar no Hub de parceiros é fundamental para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e clique em Baixar arquivo .OVA no Instalar e Configurar Software cartão. As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes de Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento da seção Help . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local em sua máquina.
4	Opcionalmente, clique em Ver guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador totais.

Se a ferramenta Configuração HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

login do docker -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker puxar ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker puxar ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o http://127.0.0.1:8080 localhost e inserir o nome de usuário do administrador no Partner Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página de visão geral da ferramenta de configuração, clique em Introdução.

9

Na página Importação ISO , você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, você não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO na navegação e carregue-o.

10

Verifique se o certificado X.509 atende aos requisitos em Requisitos de certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados chave:

Selecione o Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, receberá um campo de tipo de autenticação.
(Apenas Microsoft SQL Server ) Selecione o Tipo de autenticação:
- Autenticação básica: Você precisa de um nome de conta do servidor SQL local no campo Nome de usuário .
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor do banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você poderá usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando a autenticação do Windows, você deve inserir um nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados.
Insira o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão do banco de dados TLS:

Mode	Descrição
Prefira TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Porta e host do banco de dados . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carregar o certificado raiz (se necessário) e clicar em Continuar, a Ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós do HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da ferramenta de configuração do HDS não possa testá-la com êxito.)

13

Na página Logs do sistema, configure o servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós para o seu grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o logon no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar a criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação de registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher se a nova linha será usada para Graylog e Rsyslog TCP
- bytes nulos -- \x00
- Nova linha -- \n—Selecione essa opção para TCP Graylog e Rsyslog.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão de alguns parâmetros de conexão do banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxTamanho: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem prestes a expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.

18

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou fazer alterações de configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo.
4	Na página Selecionar um nome e pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Próximo.
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo. Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo.
7	Se você for solicitado a escolher a configuração de recurso na página de Configuração , clique em 4 CPU e, em seguida, clique em Próximo.
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento de VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host—Insira o FQDN (nome do host e domínio) ou um nome de host de palavra única para o nó. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou nome do organizador que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço de IP— Insira o endereço de IP para a interface interna do nó. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado. Máscara—Insira o endereço da máscara de sub-rede na notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS—Insira uma lista separada por vírgulas de servidores DNS, que lida com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP—Insira o servidor NTP da sua organização ou outro servidor NTP externo que possa ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós de um cluster possam ser acessados de clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações do console do nó. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Ligar > Ligar. O software de Segurança de dados híbridos é instalado como um convidado no Host de VM. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os recipientes do nó aparecerem. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console de VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione sua VM do nó de segurança de dados híbridos e clique na guia Console . A VM inicializa e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter.
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `Cisco` Como você está iniciando sessão na VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já definiu as configurações de rede em Instalar o OVA do organizador HDS, pule o resto deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, máscara, gateway e DNS. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou os servidores NTP, se necessário para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar a ISO da configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO possui a chave mestra, ele só deve ser exposto com base em "necessidade de saber", para acesso das VMs de segurança de dados híbridos e de quaisquer administradores que precisem fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista de Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no armazenamento de dados das suas VMs e clique em Procurar datastore.
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o aviso da operação de carregamento/download e feche a caixa de diálogo de armazenamento de dados.

2

Montar o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restrita.
Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os nós capturarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy—A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir quaisquer alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy. Protocolo proxy—Escolha http (exibe e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, consulte Desativar modo de resolução DNS externa bloqueada.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no cluster

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbridos, registra o nó com a nuvem Webex e o transforma em um nó de Segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó está atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar .
4	Na página que é aberta, clique em Adicionar um recurso .
5	No primeiro campo de Adicionar um nó card, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base no local onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova Iorque" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos. Uma mensagem será exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar o nó.
8	Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido na guia Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual no OVA, repetindo as etapas em Instalar o OVA do organizador HDS.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos.
3	Na nova VM, repita as etapas em Carregar e montar a ISO de configuração HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Exibir tudo . A página de Recursos de segurança de dados híbridos é exibida. O grupo recém-criado aparecerá na página Resources . Clique no grupo para visualizar os nós atribuídos ao grupo. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Add . Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar o nó. Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex. Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Nó adicionado mensagem pop-up também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar HDS multilocatários no Hub de parceiros

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS multilocatário com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações .
4	Clique em Ativar HDS no cartão Status HDS.

Adicionar organizações de locatários no Partner Hub

Nesta tarefa, você atribui organizações de clientes ao seu Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Clique no grupo ao qual deseja que um cliente seja atribuído.
5	Vá para a guia Clientes atribuídos .
6	Clique em Adicionar clientes .
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar , o cliente será adicionado ao grupo.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique Done na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar teclas principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao grupo apropriado, conforme detalhado em Adicionar organizações de locatários no Partner Hub . Execute a ferramenta de configuração HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o. Garanta a conectividade com seu banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Criar CMK para todos os ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e clique em Criar CMKs para criar CMKs para todas as organizações recém-adicionadas. Clique… perto do status pendente de gerenciamento do CMK de uma organização específica na tabela e clique em Criar CMK para criar CMK para essa organização.
12	Depois que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento CMK pendente para CMK gerenciado .
13	Se a criação do CMK falhar, um erro será exibido.

Remover organizações de locatário

Antes de começar

Depois de removidos, os usuários de organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de conta da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Na guia Resources , clique no grupo do qual você deseja remover as organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos .
6	Na lista de organizações de clientes que são exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do grupo .

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários . Execute a ferramenta de configuração HDS para concluir o processo de remoção para as organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Revogar CMK para todos os ORGs ou Revogar CMK - Clique neste botão no banner na parte superior da tela para revogar CMKs de todas as organizações que foram removidas. Clique Gerenciar CMKs botão no lado direito da tela e clique em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique … perto do CMK a ser revogado status de uma organização específica na tabela e clique em Revogar CMK para revogar o CMK para essa organização específica.
12	Depois que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação do CMK falhar, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos multilocatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos de vários locatários.

1

As teclas para um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços que os usuários criam não será mais acessível depois que as cópias armazenadas em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens ao novo espaço.

3

Verifique o resultado do syslog para verificar se as principais solicitações estão passando para a implantação de Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre em kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para legibilidade):

2020-07-21 17:35:34.562 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) KMS INFORMAÇÕES [pool-14-thread-31] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de uma nova chave KMS, filtre em kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-33] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo objeto de recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) KMS DE INFORMAÇÕES [pool-15-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação da Segurança de dados híbridos de vários locatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes que causam impacto no serviço.

1	No Partner Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações . A página de Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualizações do grupo. Quando uma atualização de software fica disponível, você tem a opção de atualizar manualmente o cluster antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão das 3:00 AM Daily United States: América/Los Angeles. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página de Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na guia Configurações de grupo .
6	Na página Configurações do grupo, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: No fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada—As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Partner Hub e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para encerrar a ferramenta de Configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó de segurança de dados híbridos e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `Unidade de CD/DVD 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Partner Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página de Recursos de segurança de dados híbridos.
Selecione seu cluster para exibir o painel de Visão geral.
Clique no nó que deseja remover.
Clique em Cancelar registro deste nó no painel que aparece à direita
Você também pode cancelar o registro do nó clicando … no lado direito do nó e selecionando Remover este nó .

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o data center em espera

O serviço mais crítico que seu grupo de Segurança de dados híbridos fornece é a criação e armazenamento de chaves usadas para criptografar mensagens e outro conteúdo armazenado na nuvem Webex. Para cada usuário dentro da organização atribuído à Segurança de dados híbridos, novas solicitações de criação de chave são roteadas ao cluster. O cluster também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o cluster executa a função crítica de fornecer essas chaves, é imperativo que o cluster permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário se torne indisponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Desregistrar todos os nós do Hub de parceiros conforme mencionado em Remover um nó . Use o arquivo ISO mais recente que foi configurado em relação aos nós do grupo que estava anteriormente ativo para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os organizadores HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no grupo .
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, desregistre os nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário, conforme mencionado acima.

(Opcional) Desmontar ISO após configuração do HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO montados continuamente. Você poderá desmontar o arquivo ISO depois que todos os nós HDS atenderem à nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Quando você cria uma nova ISO ou atualiza uma ISO através da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os nós tiverem atendido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No dispositivo do servidor vCenter, selecione o nó HDS.
3	Escolha Editar configurações > Unidade de CD/DVD e desmarque Arquivo ISO do datastore.
4	Ligue o nó HDS e verifique se não há alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS de cada vez.

Solucionar problemas de segurança de dados híbridos

Visualizar alertas e solução de problemas

Uma implantação de Segurança de dados híbridos será considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicite tempo limite. Se os usuários não puderem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha ao descriptografar mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não foi possível buscar as teclas)
- Usuários existentes em um espaço usando um novo cliente (não foi possível buscar chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que seus clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e atenda imediatamente a quaisquer alertas para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Quadro 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas de rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor do banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem caiu.	O registro nos serviços em nuvem foi encerrado. O serviço está desligando.
Serviço ainda não ativado.	Ative o HDS no Hub de parceiros.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponde ao domínio de ativação de serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha ao autenticar nos serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo do armazenamento de chaves local.	Verifique a integridade e precisão da senha no arquivo de armazenamento de chaves local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível publicar métricas.	Verifique o acesso à rede local a serviços de nuvem externos.
o diretório /media/configdrive/hds não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se foi montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs para organizações de locatários recém-adicionadas usando a Ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Partner Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para a atividade da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Partner Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. No momento, não temos uma solução ou solução para esse problema e recomendamos que você não encerre seus serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Usar o OpenSSL para gerar um arquivo PKCS12

Antes de começar

O OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração HDS. Existem outras formas de fazer isso, e não apoiamos nem promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente suportado. Consulte https://www.openssl.org para obter o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua autoridade de certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -texto -noout -em hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, todos os certificados CA intermediários e os certificados CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO------ ### Certificado do servidor. ### -----TERMINAR CERTIFICADO----------INICIAR CERTIFICADO------ ### Certificado de CA intermediário. ### -----TERMINAR CERTIFICADO-------------------------------------------------------------------------------- ### Certificado DE CA raiz. ### -----------------------`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no prompt para criptografar a chave privada de modo que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Insira a senha de importação: Atributos de OK Bag verificados pelo MACName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos principais: Insira a frase-passe do PEM: Verificando - Insira a frase-passe PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- ------TERMINAR CHAVE PRIVADA CRIPTOGRAFADA----- Atributos do saco friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 assunto=/CN=hds1.org6.portun.us emitente=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Vamos Criptografar Autoridade X3,O=Vamos Criptografar,C=US assunto=/C=US/O=Vamos Criptografar/CN=Vamos Criptografar Autoridade X3 emissor=/O=Digital Signature Trust Co./CN=DST CA Raiz X3 -----COMEÇAR CERTIFICADO---- -----TERMINAR CERTIFICADO-----

O que fazer em seguida

Retorne para Concluir os pré-requisitos para a segurança de dados híbridos. Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os hosts HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam certas métricas para a nuvem Webex. Isso inclui métricas do sistema para o máximo de heap, heap usado, carga da CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou duração da fila de solicitações; métricas no armazenamento de dados e métricas de conexão de criptografia. Os nós enviam material de chave criptografada por um canal fora da banda (separado do pedido).

Tráfego de entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva ao squid.conf:

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela abrange novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros importantes que foram corrigidos no Guia de implantação para a segurança de dados híbridos de vários locatários .

Data	Alterações feitas
08 de janeiro de 2025	Adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do organizador virtual, Fluxo de tarefas de implantação de segurança de dados híbridos e Instalar o OVA do organizador HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeiro publicado.

Desativar segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador total do Parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários .
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogue CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os seus grupos, conforme mencionado em Remover um nó .
4	Exclua todos os grupos do Partner Hub usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página Recursos, clique... no lado direito de um grupo e selecione Remover grupo .
5	Clique na guia Configurações na página Visão geral da Segurança de dados híbridos e clique em Desativar HDS no cartão de Status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal na criação do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada por clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode agir como provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações do cliente estejam protegidos contra o acesso externo. As organizações parceiras configuram instâncias HDS e criam grupos HDS conforme necessário. Cada ocorrência pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdo gerados pelos clientes. Esse acesso é limitado às organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como os centros de dados, são de propriedade do parceiro local confiável.

Como a segurança de dados híbridos multilocatários fornece soberania de dados e controle de dados

O conteúdo gerado pelo usuário é protegido de acesso externo, como provedores de serviços em nuvem.
Os parceiros confiáveis locais gerenciam as chaves de criptografia dos clientes com os quais eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecida pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Funções na segurança de dados híbridos multilocatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes que o parceiro gerencia. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações dos clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador completo - Administrador da organização parceira autorizada a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Administrador total de parceiros e direitos de administrador total necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador completos necessários.

Arquitetura de domínio de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios de confiança, conforme descrito abaixo.

Para entender ainda mais a Segurança de dados híbridos, vamos primeiro dar uma olhada neste caso de nuvem pura, onde a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, está lógica e fisicamente separado do domínio de segurança no centro de dados B. Ambos, por sua vez, estão separados do domínio onde o conteúdo criptografado é armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compor uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa o ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente envia-o para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em pesquisas futuras do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos domínios da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos de outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), o KMS envia a chave para o cliente por meio de um canal protegido por ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave ao seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos de vários locatários.

Expectativas para implantação da segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um data center seguro em um país que é um local compatível com os planos do Cisco Webex Teams.
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptogravem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas novos conteúdos ficarão visíveis. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e a configuração ISO.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco do banco de dados ou desastre do centro de dados.

Não há nenhum mecanismo para mover as teclas de volta para a nuvem após uma implantação do HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos multilocatários:

Configurar a segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de segurança de dados híbridos, criação de um cluster HDS, adição de organizações de locatários ao cluster e gerenciamento de suas chaves principais do cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos—A nuvem Webex fornece automaticamente atualizações contínuas. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Partner Hub.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o apêndice de Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Dentro do data center corporativo, você implementa a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornecer. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você montar em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Configure os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração do HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro para o mesmo servidor syslog. Os nós em si são sem estado e lidam com as principais solicitações de forma redonda, conforme direcionado pela nuvem.

Os nós ficam ativos quando você os registra no Partner Hub. Para tirar um nó individual de serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center em espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação no centro de dados em espera.

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo necessário para executar o failover.

Os nós de Segurança de dados híbridos ativos devem sempre estar no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy — O padrão se você não usar a configuração do nó HDS Trust Store & Proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy.
2. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy.
3. Protocolo proxy—Dependendo do que o servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos para segurança de dados híbridos multilocatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações de parceiros: Entre em contato com seu parceiro ou gerente de conta da Cisco e verifique se o recurso de Vários Locatários está ativado.
Organizações de locatários: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos de área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de configuração. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos de certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Quadro 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma autoridade de certificação (CA) confiável	Por padrão, confiamos nas CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio Common Name (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa ser acessível ou um host ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não suportamos a alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe o uso da chave ou restrições de uso de chave estendidas. Algumas autoridades de certificação exigem que restrições estendidas de uso de chave sejam aplicadas a cada certificado, como a autenticação do servidor. Está tudo bem para usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você irá configurar como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendados) colocados no mesmo centro de dados seguro
O VMware ESXi 7.0 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
Categoria: PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

Categoria: PostgreSQL

Servidor Microsoft SQL

Controlador JDBC 42.2.5

Controlador do SQL Server JDBC 4.6

Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Requisitos adicionais para autenticação do Windows contra o Microsoft SQL Server

Se você quiser que os nós HDS usem autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, você precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de distribuição de chaves (KDC).
Você pode registrar a instância do banco de dados HDS no Microsoft SQL Server como um nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração HDS, o iniciador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes de sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores do Common Identity Outras URLs listadas para Segurança de dados híbridos na tabela de URLs adicionais para serviços híbridos Webex de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores do Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve estar visível da internet. No seu data center, os clientes precisam acessar os nós de Segurança de dados híbridos nas portas TCP 443 e 22 para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas da região. Estes são os organizadores atuais do CI:

Região	URLs de organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:). Para contornar esse problema, consulte Configurar Squid Proxies para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você está pronto para instalar e configurar o grupo de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS multilocatário ativado e obtenha as credenciais de uma conta com o administrador total do parceiro e os direitos de administrador total. Certifique-se de que sua organização de cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de conta da Cisco para obter ajuda com este processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para sua implantação HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no grupo. Você precisa de pelo menos dois organizadores separados (3 recomendados) colocados no mesmo data center seguro, que atendam aos requisitos em Requisitos do organizador virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar esse banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Colete os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma rápida recuperação de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no grupo. Reúna seu endereço de rede e a porta de syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host syslog. No mínimo, para evitar a perda de dados irrecuperáveis, você deve fazer o backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves, de modo que uma interrupção pode não ser imediatamente percebida, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (nenhum backup disponível) do banco de dados ou arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise de 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Você usa a ocorrência do Docker para baixar e executar a Ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte os Requisitos de desktop do Docker para obter mais informações. Para instalar e executar a Ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com Segurança de dados híbridos, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.
5	Carregar e montar a ISO da configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registrar o primeiro nó no cluster Registre a VM com o Cisco Webex Cloud como um nó de segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Partner Hub.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós de Segurança de dados híbridos). Você pode usar esse arquivo mais tarde no processo de instalação.

1	Inicie sessão no Partner Hub e clique em Services .
2	Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Configurar . Clicar em Configurar no Hub de parceiros é fundamental para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e clique em Baixar arquivo .OVA no Instalar e Configurar Software cartão. As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes de Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento da seção Help . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local em sua máquina.
4	Opcionalmente, clique em Ver guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador totais.

Se a ferramenta Configuração HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

login do docker -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker puxar ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker puxar ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o http://127.0.0.1:8080 localhost e inserir o nome de usuário do administrador no Partner Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página de visão geral da ferramenta de configuração, clique em Introdução.

9

Na página Importação ISO , você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, você não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO na navegação e carregue-o.

10

Verifique se o certificado X.509 atende aos requisitos em Requisitos de certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados chave:

Selecione o Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, receberá um campo de tipo de autenticação.
(Apenas Microsoft SQL Server ) Selecione o Tipo de autenticação:
- Autenticação básica: Você precisa de um nome de conta do servidor SQL local no campo Nome de usuário .
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor do banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você poderá usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando a autenticação do Windows, você deve inserir um nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados.
Insira o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão do banco de dados TLS:

Mode	Descrição
Prefira TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Porta e host do banco de dados . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carregar o certificado raiz (se necessário) e clicar em Continuar, a Ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós do HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da ferramenta de configuração do HDS não possa testá-la com êxito.)

13

Na página Logs do sistema, configure o servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós para o seu grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o logon no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar a criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação de registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher se a nova linha será usada para Graylog e Rsyslog TCP
- bytes nulos -- \x00
- Nova linha -- \n—Selecione essa opção para TCP Graylog e Rsyslog.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão de alguns parâmetros de conexão do banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxTamanho: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem prestes a expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.

18

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou fazer alterações de configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo.
4	Na página Selecionar um nome e pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Próximo.
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo. Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo.
7	Se você for solicitado a escolher a configuração de recurso na página de Configuração , clique em 4 CPU e, em seguida, clique em Próximo.
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento de VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host—Insira o FQDN (nome do host e domínio) ou um nome de host de palavra única para o nó. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou nome do organizador que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço de IP— Insira o endereço de IP para a interface interna do nó. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado. Máscara—Insira o endereço da máscara de sub-rede na notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS—Insira uma lista separada por vírgulas de servidores DNS, que lida com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP—Insira o servidor NTP da sua organização ou outro servidor NTP externo que possa ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós de um cluster possam ser acessados de clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações do console do nó. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Ligar > Ligar. O software de Segurança de dados híbridos é instalado como um convidado no Host de VM. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os recipientes do nó aparecerem. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console de VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione sua VM do nó de segurança de dados híbridos e clique na guia Console . A VM inicializa e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter.
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `Cisco` Como você está iniciando sessão na VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já definiu as configurações de rede em Instalar o OVA do organizador HDS, pule o resto deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, máscara, gateway e DNS. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou os servidores NTP, se necessário para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar a ISO da configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO possui a chave mestra, ele só deve ser exposto com base em "necessidade de saber", para acesso das VMs de segurança de dados híbridos e de quaisquer administradores que precisem fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista de Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no armazenamento de dados das suas VMs e clique em Procurar datastore.
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o aviso da operação de carregamento/download e feche a caixa de diálogo de armazenamento de dados.

2

Montar o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restrita.
Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os nós capturarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy—A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir quaisquer alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy. Protocolo proxy—Escolha http (exibe e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, consulte Desativar modo de resolução DNS externa bloqueada.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no cluster

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbridos, registra o nó com a nuvem Webex e o transforma em um nó de Segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó está atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar .
4	Na página que é aberta, clique em Adicionar um recurso .
5	No primeiro campo de Adicionar um nó card, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base no local onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova Iorque" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos. Uma mensagem será exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar o nó.
8	Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido na guia Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual no OVA, repetindo as etapas em Instalar o OVA do organizador HDS.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos.
3	Na nova VM, repita as etapas em Carregar e montar a ISO de configuração HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Exibir tudo . A página de Recursos de segurança de dados híbridos é exibida. O grupo recém-criado aparecerá na página Resources . Clique no grupo para visualizar os nós atribuídos ao grupo. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Add . Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar o nó. Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex. Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Nó adicionado mensagem pop-up também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar HDS multilocatários no Hub de parceiros

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS multilocatário com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações .
4	Clique em Ativar HDS no cartão Status HDS.

Adicionar organizações de locatários no Partner Hub

Nesta tarefa, você atribui organizações de clientes ao seu Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Clique no grupo ao qual deseja que um cliente seja atribuído.
5	Vá para a guia Clientes atribuídos .
6	Clique em Adicionar clientes .
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar , o cliente será adicionado ao grupo.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique Done na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar teclas principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao grupo apropriado, conforme detalhado em Adicionar organizações de locatários no Partner Hub . Execute a ferramenta de configuração HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o. Garanta a conectividade com seu banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Criar CMK para todos os ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e clique em Criar CMKs para criar CMKs para todas as organizações recém-adicionadas. Clique… perto do status pendente de gerenciamento do CMK de uma organização específica na tabela e clique em Criar CMK para criar CMK para essa organização.
12	Depois que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento CMK pendente para CMK gerenciado .
13	Se a criação do CMK falhar, um erro será exibido.

Remover organizações de locatário

Antes de começar

Depois de removidos, os usuários de organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de conta da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Na guia Resources , clique no grupo do qual você deseja remover as organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos .
6	Na lista de organizações de clientes que são exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do grupo .

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários . Execute a ferramenta de configuração HDS para concluir o processo de remoção para as organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Revogar CMK para todos os ORGs ou Revogar CMK - Clique neste botão no banner na parte superior da tela para revogar CMKs de todas as organizações que foram removidas. Clique Gerenciar CMKs botão no lado direito da tela e clique em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique … perto do CMK a ser revogado status de uma organização específica na tabela e clique em Revogar CMK para revogar o CMK para essa organização específica.
12	Depois que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação do CMK falhar, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos multilocatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos de vários locatários.

1

As teclas para um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços que os usuários criam não será mais acessível depois que as cópias armazenadas em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens ao novo espaço.

3

Verifique o resultado do syslog para verificar se as principais solicitações estão passando para a implantação de Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre em kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para legibilidade):

2020-07-21 17:35:34.562 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) KMS INFORMAÇÕES [pool-14-thread-31] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de uma nova chave KMS, filtre em kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-33] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo objeto de recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) KMS DE INFORMAÇÕES [pool-15-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação da Segurança de dados híbridos de vários locatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes que causam impacto no serviço.

1	No Partner Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações . A página de Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualizações do grupo. Quando uma atualização de software fica disponível, você tem a opção de atualizar manualmente o cluster antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão das 3:00 AM Daily United States: América/Los Angeles. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página de Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na guia Configurações de grupo .
6	Na página Configurações do grupo, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: No fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada—As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Partner Hub e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para encerrar a ferramenta de Configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó de segurança de dados híbridos e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `Unidade de CD/DVD 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Partner Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página de Recursos de segurança de dados híbridos.
Selecione seu cluster para exibir o painel de Visão geral.
Clique no nó que deseja remover.
Clique em Cancelar registro deste nó no painel que aparece à direita
Você também pode cancelar o registro do nó clicando … no lado direito do nó e selecionando Remover este nó .

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o data center em espera

O serviço mais crítico que seu grupo de Segurança de dados híbridos fornece é a criação e armazenamento de chaves usadas para criptografar mensagens e outro conteúdo armazenado na nuvem Webex. Para cada usuário dentro da organização atribuído à Segurança de dados híbridos, novas solicitações de criação de chave são roteadas ao cluster. O cluster também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o cluster executa a função crítica de fornecer essas chaves, é imperativo que o cluster permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário se torne indisponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Desregistrar todos os nós do Hub de parceiros conforme mencionado em Remover um nó . Use o arquivo ISO mais recente que foi configurado em relação aos nós do grupo que estava anteriormente ativo para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os organizadores HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no grupo .
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, desregistre os nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário, conforme mencionado acima.

(Opcional) Desmontar ISO após configuração do HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO montados continuamente. Você poderá desmontar o arquivo ISO depois que todos os nós HDS atenderem à nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Quando você cria uma nova ISO ou atualiza uma ISO através da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os nós tiverem atendido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No dispositivo do servidor vCenter, selecione o nó HDS.
3	Escolha Editar configurações > Unidade de CD/DVD e desmarque Arquivo ISO do datastore.
4	Ligue o nó HDS e verifique se não há alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS de cada vez.

Solucionar problemas de segurança de dados híbridos

Visualizar alertas e solução de problemas

Uma implantação de Segurança de dados híbridos será considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicite tempo limite. Se os usuários não puderem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha ao descriptografar mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não foi possível buscar as teclas)
- Usuários existentes em um espaço usando um novo cliente (não foi possível buscar chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que seus clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e atenda imediatamente a quaisquer alertas para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Quadro 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas de rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor do banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem caiu.	O registro nos serviços em nuvem foi encerrado. O serviço está desligando.
Serviço ainda não ativado.	Ative o HDS no Hub de parceiros.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponde ao domínio de ativação de serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha ao autenticar nos serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo do armazenamento de chaves local.	Verifique a integridade e precisão da senha no arquivo de armazenamento de chaves local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível publicar métricas.	Verifique o acesso à rede local a serviços de nuvem externos.
o diretório /media/configdrive/hds não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se foi montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs para organizações de locatários recém-adicionadas usando a Ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Partner Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para a atividade da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Partner Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. No momento, não temos uma solução ou solução para esse problema e recomendamos que você não encerre seus serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Usar o OpenSSL para gerar um arquivo PKCS12

Antes de começar

O OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração HDS. Existem outras formas de fazer isso, e não apoiamos nem promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente suportado. Consulte https://www.openssl.org para obter o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua autoridade de certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -texto -noout -em hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, todos os certificados CA intermediários e os certificados CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO------ ### Certificado do servidor. ### -----TERMINAR CERTIFICADO----------INICIAR CERTIFICADO------ ### Certificado de CA intermediário. ### -----TERMINAR CERTIFICADO-------------------------------------------------------------------------------- ### Certificado DE CA raiz. ### -----------------------`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no prompt para criptografar a chave privada de modo que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Insira a senha de importação: Atributos de OK Bag verificados pelo MACName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos principais: Insira a frase-passe do PEM: Verificando - Insira a frase-passe PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- ------TERMINAR CHAVE PRIVADA CRIPTOGRAFADA----- Atributos do saco friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 assunto=/CN=hds1.org6.portun.us emitente=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Vamos Criptografar Autoridade X3,O=Vamos Criptografar,C=US assunto=/C=US/O=Vamos Criptografar/CN=Vamos Criptografar Autoridade X3 emissor=/O=Digital Signature Trust Co./CN=DST CA Raiz X3 -----COMEÇAR CERTIFICADO---- -----TERMINAR CERTIFICADO-----

O que fazer em seguida

Retorne para Concluir os pré-requisitos para a segurança de dados híbridos. Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os hosts HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam certas métricas para a nuvem Webex. Isso inclui métricas do sistema para o máximo de heap, heap usado, carga da CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou duração da fila de solicitações; métricas no armazenamento de dados e métricas de conexão de criptografia. Os nós enviam material de chave criptografada por um canal fora da banda (separado do pedido).

Tráfego de entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva ao squid.conf:

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela abrange novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros importantes que foram corrigidos no Guia de implantação para a segurança de dados híbridos de vários locatários .

Data	Alterações feitas
08 de janeiro de 2025	Adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do organizador virtual, Fluxo de tarefas de implantação de segurança de dados híbridos e Instalar o OVA do organizador HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeiro publicado.

Desativar segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador total do Parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários .
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogue CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os seus grupos, conforme mencionado em Remover um nó .
4	Exclua todos os grupos do Partner Hub usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página Recursos, clique... no lado direito de um grupo e selecione Remover grupo .
5	Clique na guia Configurações na página Visão geral da Segurança de dados híbridos e clique em Desativar HDS no cartão de Status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal na criação do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada por clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode agir como provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações do cliente estejam protegidos contra o acesso externo. As organizações parceiras configuram instâncias HDS e criam grupos HDS conforme necessário. Cada ocorrência pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdo gerados pelos clientes. Esse acesso é limitado às organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como os centros de dados, são de propriedade do parceiro local confiável.

Como a segurança de dados híbridos multilocatários fornece soberania de dados e controle de dados

O conteúdo gerado pelo usuário é protegido de acesso externo, como provedores de serviços em nuvem.
Os parceiros confiáveis locais gerenciam as chaves de criptografia dos clientes com os quais eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecida pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Funções na segurança de dados híbridos multilocatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes que o parceiro gerencia. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações dos clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador completo - Administrador da organização parceira autorizada a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Administrador total de parceiros e direitos de administrador total necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador completos necessários.

Arquitetura de domínio de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios de confiança, conforme descrito abaixo.

Para entender ainda mais a Segurança de dados híbridos, vamos primeiro dar uma olhada neste caso de nuvem pura, onde a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, está lógica e fisicamente separado do domínio de segurança no centro de dados B. Ambos, por sua vez, estão separados do domínio onde o conteúdo criptografado é armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compor uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa o ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente envia-o para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em pesquisas futuras do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos domínios da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos de outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), o KMS envia a chave para o cliente por meio de um canal protegido por ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave ao seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre a geração de um certificado x.509 a ser usado com a implantação de Segurança de dados híbridos de vários locatários.

Expectativas para implantação da segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos provenientes da propriedade de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um data center seguro em um país que é um local compatível com os planos do Cisco Webex Teams.
O equipamento, o software e o acesso à rede descritos em Prepare seu ambiente .

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptogravem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas novos conteúdos ficarão visíveis. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e a configuração ISO.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco do banco de dados ou desastre do centro de dados.

Não há nenhum mecanismo para mover as teclas de volta para a nuvem após uma implantação do HDS.

Processo de configuração de alto nível

Este documento abrange a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos multilocatários:

Configurar a segurança de dados híbridos —Isso inclui a preparação da infraestrutura necessária e a instalação de software de segurança de dados híbridos, criação de um cluster HDS, adição de organizações de locatários ao cluster e gerenciamento de suas chaves principais do cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos—A nuvem Webex fornece automaticamente atualizações contínuas. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Partner Hub.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o apêndice de Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Dentro do data center corporativo, você implementa a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornecer. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você montar em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Configure os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração do HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro para o mesmo servidor syslog. Os nós em si são sem estado e lidam com as principais solicitações de forma redonda, conforme direcionado pela nuvem.

Os nós ficam ativos quando você os registra no Partner Hub. Para tirar um nó individual de serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center em espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação no centro de dados em espera.

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo necessário para executar o failover.

Os nós de Segurança de dados híbridos ativos devem sempre estar no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy — O padrão se você não usar a configuração do nó HDS Trust Store & Proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy.
2. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy.
3. Protocolo proxy—Dependendo do que o servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos para segurança de dados híbridos multilocatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações de parceiros: Entre em contato com seu parceiro ou gerente de conta da Cisco e verifique se o recurso de Vários Locatários está ativado.
Organizações de locatários: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos de área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de configuração. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos de certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Quadro 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma autoridade de certificação (CA) confiável	Por padrão, confiamos nas CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio Common Name (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa ser acessível ou um host ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não suportamos a alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe o uso da chave ou restrições de uso de chave estendidas. Algumas autoridades de certificação exigem que restrições estendidas de uso de chave sejam aplicadas a cada certificado, como a autenticação do servidor. Está tudo bem para usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você irá configurar como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendados) colocados no mesmo centro de dados seguro
O VMware ESXi 7.0 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
Categoria: PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

Categoria: PostgreSQL

Servidor Microsoft SQL

Controlador JDBC 42.2.5

Controlador do SQL Server JDBC 4.6

Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Requisitos adicionais para autenticação do Windows contra o Microsoft SQL Server

Se você quiser que os nós HDS usem autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, você precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de distribuição de chaves (KDC).
Você pode registrar a instância do banco de dados HDS no Microsoft SQL Server como um nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração HDS, o iniciador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes de sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores do Common Identity Outras URLs listadas para Segurança de dados híbridos na tabela de URLs adicionais para serviços híbridos Webex de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores do Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve estar visível da internet. No seu data center, os clientes precisam acessar os nós de Segurança de dados híbridos nas portas TCP 443 e 22 para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas da região. Estes são os organizadores atuais do CI:

Região	URLs de organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:). Para contornar esse problema, consulte Configurar Squid Proxies para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você está pronto para instalar e configurar o grupo de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS multilocatário ativado e obtenha as credenciais de uma conta com o administrador total do parceiro e os direitos de administrador total. Certifique-se de que sua organização de cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de conta da Cisco para obter ajuda com este processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para sua implantação HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no grupo. Você precisa de pelo menos dois organizadores separados (3 recomendados) colocados no mesmo data center seguro, que atendam aos requisitos em Requisitos do organizador virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar esse banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Colete os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma rápida recuperação de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no grupo. Reúna seu endereço de rede e a porta de syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host syslog. No mínimo, para evitar a perda de dados irrecuperáveis, você deve fazer o backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves, de modo que uma interrupção pode não ser imediatamente percebida, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (nenhum backup disponível) do banco de dados ou arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise de 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Você usa a ocorrência do Docker para baixar e executar a Ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte os Requisitos de desktop do Docker para obter mais informações. Para instalar e executar a Ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com Segurança de dados híbridos, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.
5	Carregar e montar a ISO da configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registrar o primeiro nó no cluster Registre a VM com o Cisco Webex Cloud como um nó de segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Partner Hub.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós de Segurança de dados híbridos). Você pode usar esse arquivo mais tarde no processo de instalação.

1	Inicie sessão no Partner Hub e clique em Services .
2	Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Configurar . Clicar em Configurar no Hub de parceiros é fundamental para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e clique em Baixar arquivo .OVA no Instalar e Configurar Software cartão. As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes de Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento da seção Help . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos . O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local em sua máquina.
4	Opcionalmente, clique em Ver guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador totais.

Se a ferramenta Configuração HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

login do docker -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker puxar ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker puxar ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o http://127.0.0.1:8080 localhost e inserir o nome de usuário do administrador no Partner Hub no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página de visão geral da ferramenta de configuração, clique em Introdução.

9

Na página Importação ISO , você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, você não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO na navegação e carregue-o.

10

Verifique se o certificado X.509 atende aos requisitos em Requisitos de certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados chave:

Selecione o Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, receberá um campo de tipo de autenticação.
(Apenas Microsoft SQL Server ) Selecione o Tipo de autenticação:
- Autenticação básica: Você precisa de um nome de conta do servidor SQL local no campo Nome de usuário .
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor do banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você poderá usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando a autenticação do Windows, você deve inserir um nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados.
Insira o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão do banco de dados TLS:

Mode	Descrição
Prefira TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Porta e host do banco de dados . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carregar o certificado raiz (se necessário) e clicar em Continuar, a Ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós do HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da ferramenta de configuração do HDS não possa testá-la com êxito.)

13

Na página Logs do sistema, configure o servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós para o seu grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o logon no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar a criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação de registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher se a nova linha será usada para Graylog e Rsyslog TCP
- bytes nulos -- \x00
- Nova linha -- \n—Selecione essa opção para TCP Graylog e Rsyslog.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão de alguns parâmetros de conexão do banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxTamanho: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem prestes a expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.

18

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou fazer alterações de configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo.
4	Na página Selecionar um nome e pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Próximo.
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo. Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo.
7	Se você for solicitado a escolher a configuração de recurso na página de Configuração , clique em 4 CPU e, em seguida, clique em Próximo.
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento de VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host—Insira o FQDN (nome do host e domínio) ou um nome de host de palavra única para o nó. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou nome do organizador que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço de IP— Insira o endereço de IP para a interface interna do nó. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado. Máscara—Insira o endereço da máscara de sub-rede na notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS—Insira uma lista separada por vírgulas de servidores DNS, que lida com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP—Insira o servidor NTP da sua organização ou outro servidor NTP externo que possa ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós de um cluster possam ser acessados de clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações do console do nó. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Ligar > Ligar. O software de Segurança de dados híbridos é instalado como um convidado no Host de VM. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os recipientes do nó aparecerem. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console de VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione sua VM do nó de segurança de dados híbridos e clique na guia Console . A VM inicializa e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter.
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `Cisco` Como você está iniciando sessão na VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já definiu as configurações de rede em Instalar o OVA do organizador HDS, pule o resto deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, máscara, gateway e DNS. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou os servidores NTP, se necessário para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar a ISO da configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO possui a chave mestra, ele só deve ser exposto com base em "necessidade de saber", para acesso das VMs de segurança de dados híbridos e de quaisquer administradores que precisem fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista de Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no armazenamento de dados das suas VMs e clique em Procurar datastore.
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o aviso da operação de carregamento/download e feche a caixa de diálogo de armazenamento de dados.

2

Montar o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restrita.
Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os nós capturarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy—A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir quaisquer alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy. Protocolo proxy—Escolha http (exibe e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, consulte Desativar modo de resolução DNS externa bloqueada.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registrar o primeiro nó no cluster

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbridos, registra o nó com a nuvem Webex e o transforma em um nó de Segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó está atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar .
4	Na página que é aberta, clique em Adicionar um recurso .
5	No primeiro campo de Adicionar um nó card, digite um nome para o grupo ao qual deseja atribuir seu nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base no local onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova Iorque" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos. Uma mensagem será exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar o nó.
8	Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Na página Segurança de dados híbridos , o novo cluster contendo o nó que você registrou é exibido na guia Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual no OVA, repetindo as etapas em Instalar o OVA do organizador HDS.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos.
3	Na nova VM, repita as etapas em Carregar e montar a ISO de configuração HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção Serviços em nuvem, encontre o cartão de segurança de dados híbridos e clique em Exibir tudo . A página de Recursos de segurança de dados híbridos é exibida. O grupo recém-criado aparecerá na página Resources . Clique no grupo para visualizar os nós atribuídos ao grupo. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Add . Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar o nó. Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex. Clique no link ou feche a guia para voltar para a página de Segurança de dados híbridos do Partner Hub. Nó adicionado mensagem pop-up também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar HDS multilocatários no Hub de parceiros

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS multilocatário com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações .
4	Clique em Ativar HDS no cartão Status HDS.

Adicionar organizações de locatários no Partner Hub

Nesta tarefa, você atribui organizações de clientes ao seu Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Clique no grupo ao qual deseja que um cliente seja atribuído.
5	Vá para a guia Clientes atribuídos .
6	Clique em Adicionar clientes .
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar , o cliente será adicionado ao grupo.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique Done na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar teclas principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao grupo apropriado, conforme detalhado em Adicionar organizações de locatários no Partner Hub . Execute a ferramenta de configuração HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o. Garanta a conectividade com seu banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Criar CMK para todos os ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e clique em Criar CMKs para criar CMKs para todas as organizações recém-adicionadas. Clique… perto do status pendente de gerenciamento do CMK de uma organização específica na tabela e clique em Criar CMK para criar CMK para essa organização.
12	Depois que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento CMK pendente para CMK gerenciado .
13	Se a criação do CMK falhar, um erro será exibido.

Remover organizações de locatário

Antes de começar

Depois de removidos, os usuários de organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de conta da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Exibir tudo .
4	Na guia Resources , clique no grupo do qual você deseja remover as organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos .
6	Na lista de organizações de clientes que são exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do grupo .

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários . Execute a ferramenta de configuração HDS para concluir o processo de remoção para as organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador completos para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o `http://127.0.0.1:8080` localhost e inserir o nome de usuário do administrador no Partner Hub no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Iniciar sessão para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página ISO Import , clique em Yes .
10	Selecione o arquivo ISO no navegador e carregue-o.
11	Vá para a guia Gerenciamento de CMK do locatário , onde você encontrará as seguintes três maneiras de gerenciar CMKs do locatário. Revogar CMK para todos os ORGs ou Revogar CMK - Clique neste botão no banner na parte superior da tela para revogar CMKs de todas as organizações que foram removidas. Clique Gerenciar CMKs botão no lado direito da tela e clique em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique … perto do CMK a ser revogado status de uma organização específica na tabela e clique em Revogar CMK para revogar o CMK para essa organização específica.
12	Depois que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação do CMK falhar, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbridos multilocatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão sendo transmitidas para a implantação de Segurança de dados híbridos de vários locatários.

1

As teclas para um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços que os usuários criam não será mais acessível depois que as cópias armazenadas em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens ao novo espaço.

3

Verifique o resultado do syslog para verificar se as principais solicitações estão passando para a implantação de Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre em kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para legibilidade):

2020-07-21 17:35:34.562 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) KMS INFORMAÇÕES [pool-14-thread-31] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de uma nova chave KMS, filtre em kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-33] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo objeto de recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) KMS DE INFORMAÇÕES [pool-15-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação da Segurança de dados híbridos de vários locatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes que causam impacto no serviço.

1	No Partner Hub , selecione Serviços no menu do lado esquerdo da tela.
2	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações . A página de Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualizações do grupo. Quando uma atualização de software fica disponível, você tem a opção de atualizar manualmente o cluster antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão das 3:00 AM Daily United States: América/Los Angeles. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços em nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página de Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na guia Configurações de grupo .
6	Na página Configurações do grupo, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: No fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas .

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada—As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Partner Hub e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para encerrar a ferramenta de Configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó de segurança de dados híbridos e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós . Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `Unidade de CD/DVD 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Partner Hub e selecione Services .
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página de Recursos de segurança de dados híbridos.
Selecione seu cluster para exibir o painel de Visão geral.
Clique no nó que deseja remover.
Clique em Cancelar registro deste nó no painel que aparece à direita
Você também pode cancelar o registro do nó clicando … no lado direito do nó e selecionando Remover este nó .

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o data center em espera

O serviço mais crítico que seu grupo de Segurança de dados híbridos fornece é a criação e armazenamento de chaves usadas para criptografar mensagens e outro conteúdo armazenado na nuvem Webex. Para cada usuário dentro da organização atribuído à Segurança de dados híbridos, novas solicitações de criação de chave são roteadas ao cluster. O cluster também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o cluster executa a função crítica de fornecer essas chaves, é imperativo que o cluster permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário se torne indisponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Desregistrar todos os nós do Hub de parceiros conforme mencionado em Remover um nó . Use o arquivo ISO mais recente que foi configurado em relação aos nós do grupo que estava anteriormente ativo para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os organizadores HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no grupo .
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, desregistre os nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário, conforme mencionado acima.

(Opcional) Desmontar ISO após configuração do HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO montados continuamente. Você poderá desmontar o arquivo ISO depois que todos os nós HDS atenderem à nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Quando você cria uma nova ISO ou atualiza uma ISO através da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os nós tiverem atendido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No dispositivo do servidor vCenter, selecione o nó HDS.
3	Escolha Editar configurações > Unidade de CD/DVD e desmarque Arquivo ISO do datastore.
4	Ligue o nó HDS e verifique se não há alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS de cada vez.

Solucionar problemas de segurança de dados híbridos

Visualizar alertas e solução de problemas

Uma implantação de Segurança de dados híbridos será considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicite tempo limite. Se os usuários não puderem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha ao descriptografar mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não foi possível buscar as teclas)
- Usuários existentes em um espaço usando um novo cliente (não foi possível buscar chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que seus clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e atenda imediatamente a quaisquer alertas para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibirá alertas ao administrador da organização e enviará e-mails ao endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Quadro 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas de rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor do banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem caiu.	O registro nos serviços em nuvem foi encerrado. O serviço está desligando.
Serviço ainda não ativado.	Ative o HDS no Hub de parceiros.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponde ao domínio de ativação de serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha ao autenticar nos serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo do armazenamento de chaves local.	Verifique a integridade e precisão da senha no arquivo de armazenamento de chaves local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível publicar métricas.	Verifique o acesso à rede local a serviços de nuvem externos.
o diretório /media/configdrive/hds não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se foi montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs para organizações de locatários recém-adicionadas usando a Ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Partner Hub para quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para a atividade da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você desativar o cluster de Segurança de dados híbridos (excluindo-o no Partner Hub ou fechando todos os nós), perderá seu arquivo ISO de configuração ou perderá o acesso ao banco de dados do keystore, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços na lista de Pessoas que foram criados com as chaves do seu KMS. No momento, não temos uma solução ou solução para esse problema e recomendamos que você não encerre seus serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Usar o OpenSSL para gerar um arquivo PKCS12

Antes de começar

O OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração HDS. Existem outras formas de fazer isso, e não apoiamos nem promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente suportado. Consulte https://www.openssl.org para obter o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua autoridade de certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -texto -noout -em hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, todos os certificados CA intermediários e os certificados CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO------ ### Certificado do servidor. ### -----TERMINAR CERTIFICADO----------INICIAR CERTIFICADO------ ### Certificado de CA intermediário. ### -----TERMINAR CERTIFICADO-------------------------------------------------------------------------------- ### Certificado DE CA raiz. ### -----------------------`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no prompt para criptografar a chave privada de modo que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Insira a senha de importação: Atributos de OK Bag verificados pelo MACName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos principais: Insira a frase-passe do PEM: Verificando - Insira a frase-passe PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- ------TERMINAR CHAVE PRIVADA CRIPTOGRAFADA----- Atributos do saco friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 assunto=/CN=hds1.org6.portun.us emitente=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Vamos Criptografar Autoridade X3,O=Vamos Criptografar,C=US assunto=/C=US/O=Vamos Criptografar/CN=Vamos Criptografar Autoridade X3 emissor=/O=Digital Signature Trust Co./CN=DST CA Raiz X3 -----COMEÇAR CERTIFICADO---- -----TERMINAR CERTIFICADO-----

O que fazer em seguida

Retorne para Concluir os pré-requisitos para a segurança de dados híbridos. Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os hosts HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam certas métricas para a nuvem Webex. Isso inclui métricas do sistema para o máximo de heap, heap usado, carga da CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou duração da fila de solicitações; métricas no armazenamento de dados e métricas de conexão de criptografia. Os nós enviam material de chave criptografada por um canal fora da banda (separado do pedido).

Tráfego de entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva ao squid.conf:

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela aborda novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros principais que foram corrigidos no Guia de implantação da segurança de dados híbridos multilocatários.

Data	Alterações feitas
15 de janeiro de 2025	Adicionadas limitações da segurança de dados híbridos de vários locatários.
08 de janeiro de 2025	Adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do organizador virtual, Fluxo de tarefas de implantação de segurança de dados híbridos e Instalar o OVA do organizador HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeiro publicado.

Desativar a segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação de HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador completo do parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários.
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogar CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os grupos, conforme mencionado em Remover um nó.
4	Exclua todos os grupos do Hub de parceiros usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página de Recursos, clique em ｟_ph_36｠ no lado direito de um grupo e selecione Remover grupo.
5	Clique na guia de Configurações na página de visão geral da Segurança de dados híbridos e em Desativar HDS no cartão de status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal na criação do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada por clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

A Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode atuar como um provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações de clientes estejam seguros contra acesso externo. As organizações parceiras configuram ocorrências HDS e criam grupos HDS conforme necessário. Cada instância pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdos gerados pelos clientes. Esse acesso é limitado a organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como centros de dados, são de propriedade do parceiro local confiável.

Como a Segurança de dados híbridos multilocatários fornece a soberania e o controle de dados

O conteúdo gerado pelo usuário é protegido contra acesso externo, como provedores de serviços em nuvem.
Os parceiros locais confiáveis gerenciam as chaves de criptografia de clientes com quem eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecido pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Limitações da segurança de dados híbridos de vários locatários

As organizações parceiras não devem ter nenhuma implantação HDS existente ativa no Control Hub.
As organizações de locatários ou clientes que desejam ser gerenciadas por um parceiro não devem ter nenhuma implantação HDS existente no Control Hub.
Depois que o HDS multilocatário for implantado pelo parceiro, todos os usuários das organizações de clientes, bem como os usuários da organização parceira, começarão a aproveitar o HDS multilocatário para seus serviços de criptografia.

A organização parceira e as organizações de clientes que eles gerenciam estarão na mesma implantação HDS multilocatário.

A organização parceira não usará mais o KMS na nuvem depois que o HDS multilocatário for implantado.
Não há nenhum mecanismo para mover as teclas de volta para o KMS em nuvem após uma implantação do HDS.
Atualmente, cada implantação HDS de vários locatários pode ter apenas um grupo, com vários nós sob ele.
As funções de administrador têm certas limitações; consulte a seção abaixo para obter detalhes.

Funções na segurança de dados híbridos de vários locatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes gerenciados pelo parceiro. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações para clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador total - Administrador da organização parceira que está autorizado a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Direitos de administrador completo do parceiro e administrador completo necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador total necessários.

Arquitetura de domínio de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios de confiança, conforme descrito abaixo.

Para entender ainda mais a Segurança de dados híbridos, vamos primeiro dar uma olhada neste caso de nuvem pura, onde a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, está lógica e fisicamente separado do domínio de segurança no centro de dados B. Ambos, por sua vez, estão separados do domínio onde o conteúdo criptografado é armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compor uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa o ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente envia-o para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em pesquisas futuras do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos domínios da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos de outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), o KMS envia a chave para o cliente por meio de um canal protegido por ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave ao seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre como gerar um certificado x.509 para usar com a implantação de segurança de dados híbridos multilocatários.

Expectativas para implantação da segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos que advêm da posse de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um data center seguro em um país que é um local compatível com os planos do Cisco Webex Teams.
O equipamento, software e acesso à rede descritos em Prepare seu ambiente.

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptogravem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas novos conteúdos ficarão visíveis. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e a configuração ISO.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco do banco de dados ou desastre do centro de dados.

Não há nenhum mecanismo para mover as teclas de volta para a nuvem após uma implantação do HDS.

Processo de Configuração de alto nível

Este documento cobre a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos de vários locatários:

Configurar a Segurança de Dados Híbridos—Isso inclui preparar a infraestrutura necessária e instalar o software de Segurança de Dados Híbridos, criar um cluster HDS, adicionar organizações de locatários ao cluster e gerenciar as Chaves Principais do Cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos—A nuvem Webex fornece automaticamente atualizações contínuas. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Hub de parceiros.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o apêndice de Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Dentro do data center corporativo, você implementa a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornecer. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você montar em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Configure os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração do HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro para o mesmo servidor syslog. Os nós em si são sem estado e lidam com as principais solicitações de forma redonda, conforme direcionado pela nuvem.

Os nós ficam ativos quando você os registra no Hub de parceiros. Para tirar um nó individual de serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center em espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação no centro de dados em espera.

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo necessário para executar o failover.

Os nós de Segurança de dados híbridos ativos devem sempre estar no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy — O padrão se você não usar a configuração do nó HDS Trust Store & Proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy.
2. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy.
3. Protocolo proxy—Dependendo do que o servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos de segurança de dados híbridos de vários locatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações parceiras: Entre em contato com seu parceiro ou gerente de contas da Cisco e certifique-se de que o recurso de vários locatários esteja ativado.
Organizações do locatário: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos de área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de configuração. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos de certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Quadro 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma autoridade de certificação (CA) confiável	Por padrão, confiamos nas CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio Common Name (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa ser acessível ou um host ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não suportamos a alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe o uso da chave ou restrições de uso de chave estendidas. Algumas autoridades de certificação exigem que restrições estendidas de uso de chave sejam aplicadas a cada certificado, como a autenticação do servidor. Está tudo bem para usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você irá configurar como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendados) colocados no mesmo centro de dados seguro
O VMware ESXi 7.0 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
Categoria: PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

Categoria: PostgreSQL

Servidor Microsoft SQL

Controlador JDBC 42.2.5

Controlador do SQL Server JDBC 4.6

Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Requisitos adicionais para autenticação do Windows contra o Microsoft SQL Server

Se você quiser que os nós HDS usem autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, você precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de distribuição de chaves (KDC).
Você pode registrar a instância do banco de dados HDS no Microsoft SQL Server como um nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração HDS, o iniciador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes de sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores do Common Identity Outras URLs listadas para Segurança de dados híbridos na tabela de URLs adicionais para serviços híbridos Webex de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores do Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve estar visível da internet. No seu data center, os clientes precisam acessar os nós de Segurança de dados híbridos nas portas TCP 443 e 22 para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas da região. Estes são os organizadores atuais do CI:

Região	URLs de organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:). Para contornar esse problema, consulte Configurar Squid Proxies para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você está pronto para instalar e configurar o grupo de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS de vários locatários habilitado e obtenha as credenciais de uma conta com administrador completo de parceiros e direitos de administrador completo. Certifique-se de que sua organização do cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de conta da Cisco para obter ajuda com este processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para sua implantação HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no grupo. Você precisa de pelo menos dois organizadores separados (3 recomendados) colocados no mesmo data center seguro, que atendam aos requisitos em Requisitos do organizador virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar esse banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Colete os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma rápida recuperação de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no grupo. Reúna seu endereço de rede e a porta de syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host syslog. No mínimo, para evitar a perda de dados irrecuperáveis, você deve fazer o backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves, de modo que uma interrupção pode não ser imediatamente percebida, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (nenhum backup disponível) do banco de dados ou arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise de 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Você usa a ocorrência do Docker para baixar e executar a Ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte os Requisitos de desktop do Docker para obter mais informações. Para instalar e executar a Ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com Segurança de dados híbridos, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.
5	Carregar e montar a ISO da configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registre o primeiro nó no grupo Registre a VM com o Cisco Webex Cloud como um nó de segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Hub de parceiros.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós de Segurança de dados híbridos). Você pode usar esse arquivo mais tarde no processo de instalação.

1	Inicie sessão no Hub de parceiros e clique em Serviços.
2	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar. Clicar em Configurar no Hub de parceiros é fundamental para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e em Baixar arquivo .OVA no cartão Instalar e configurar software . As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes de Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento na seção de Ajuda . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos. O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local em sua máquina.
4	Opcionalmente, clique em Consulte o guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

login do docker -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker puxar ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker puxar ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o localhost http://127.0.0.1:8080 e insira o nome de usuário do administrador do Hub de parceiros no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página de visão geral da ferramenta de configuração, clique em Introdução.

9

Na página Importação ISO , você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, você não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO na navegação e carregue-o.

10

Verifique se o certificado X.509 atende aos requisitos em Requisitos de certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados chave:

Selecione o Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, receberá um campo de tipo de autenticação.
(Apenas Microsoft SQL Server ) Selecione o Tipo de autenticação:
- Autenticação básica: Você precisa de um nome de conta do servidor SQL local no campo Nome de usuário .
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor do banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você poderá usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando a autenticação do Windows, você deve inserir um nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados.
Insira o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão do banco de dados TLS:

Mode	Descrição
Prefira TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Porta e host do banco de dados . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carregar o certificado raiz (se necessário) e clicar em Continuar, a Ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós do HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da ferramenta de configuração do HDS não possa testá-la com êxito.)

13

Na página Logs do sistema, configure o servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós para o seu grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o logon no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar a criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação de registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher se a nova linha será usada para Graylog e Rsyslog TCP
- bytes nulos -- \x00
- Nova linha -- \n—Selecione essa opção para TCP Graylog e Rsyslog.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão de alguns parâmetros de conexão do banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxTamanho: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem prestes a expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.

18

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou fazer alterações de configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo.
4	Na página Selecionar um nome e pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Próximo.
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo. Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo.
7	Se você for solicitado a escolher a configuração de recurso na página de Configuração , clique em 4 CPU e, em seguida, clique em Próximo.
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento de VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host—Insira o FQDN (nome do host e domínio) ou um nome de host de palavra única para o nó. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou nome do organizador que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço de IP— Insira o endereço de IP para a interface interna do nó. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado. Máscara—Insira o endereço da máscara de sub-rede na notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS—Insira uma lista separada por vírgulas de servidores DNS, que lida com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP—Insira o servidor NTP da sua organização ou outro servidor NTP externo que possa ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós de um cluster possam ser acessados de clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações do console do nó. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Ligar > Ligar. O software de Segurança de dados híbridos é instalado como um convidado no Host de VM. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os recipientes do nó aparecerem. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console de VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione sua VM do nó de segurança de dados híbridos e clique na guia Console . A VM inicializa e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter.
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `Cisco` Como você está iniciando sessão na VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já definiu as configurações de rede em Instalar o OVA do organizador HDS, pule o resto deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, máscara, gateway e DNS. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou os servidores NTP, se necessário para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar a ISO da configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO possui a chave mestra, ele só deve ser exposto com base em "necessidade de saber", para acesso das VMs de segurança de dados híbridos e de quaisquer administradores que precisem fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista de Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no armazenamento de dados das suas VMs e clique em Procurar datastore.
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o aviso da operação de carregamento/download e feche a caixa de diálogo de armazenamento de dados.

2

Montar o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restrita.
Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os nós capturarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy—A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir quaisquer alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy. Protocolo proxy—Escolha http (exibe e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, consulte Desativar modo de resolução DNS externa bloqueada.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registre o primeiro nó no grupo

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbridos, registra o nó com a nuvem Webex e o transforma em um nó de Segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó está atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar.
4	Na página que é aberta, clique em Adicionar um recurso.
5	No primeiro campo do cartão Adicionar um nó , insira um nome para o grupo ao qual você deseja atribuir o nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base no local onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova Iorque" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos. Uma mensagem será exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar o nó.
8	Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. Na página de Segurança de dados híbridos , o novo grupo contendo o nó que você registrou é exibido na guia de Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual no OVA, repetindo as etapas em Instalar o OVA do organizador HDS.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos.
3	Na nova VM, repita as etapas em Carregar e montar a ISO de configuração HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços de nuvem, encontre o cartão de Segurança de dados híbridos e clique em Exibir tudo. A página de Recursos de segurança de dados híbridos é exibida. O cluster recém-criado aparecerá na página de Recursos . Clique no cluster para visualizar os nós atribuídos ao cluster. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar. Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar o nó. Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. A mensagem pop-up do nó adicionado também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar o HDS multilocatário no Hub do parceiro

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS de vários locatários com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações.
4	Clique em Ativar HDS no cartão de Status HDS .

Adicionar organizações de locatários no Hub de parceiros

Nesta tarefa, você atribui organizações de clientes ao Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Clique no cluster ao qual você deseja que um cliente seja atribuído.
5	Vá para a guia de Clientes atribuídos .
6	Clique em Adicionar clientes.
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar e o cliente será adicionado ao cluster.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique em Concluído na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao cluster apropriado, conforme detalhado em Adicionar organizações de locatários no Hub de parceiros. Execute a ferramenta de configuração do HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o. Certifique-se de conectividade com o banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Criar CMK para todas as ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e em Criar CMKs para criar CMKs de todas as organizações recém-adicionadas. Clique no status pendente do gerenciamento de CMK de uma organização específica na tabela e clique em Criar CMK para criar o CMK para essa organização.
12	Assim que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento de CMK pendente para CMK gerenciado.
13	Se a criação do CMK não for bem-sucedida, um erro será exibido.

Remover organizações de locatários

Antes de começar

Uma vez removidos, os usuários das organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de contas da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Na guia de Recursos , clique no cluster do qual você deseja remover organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos.
6	Na lista de organizações de clientes exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do cluster.

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários. Execute a ferramenta de configuração do HDS para concluir o processo de remoção das organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Revogar o CMK de todas as ORGs ou Revogar o CMK - Clique neste botão no banner na parte superior da tela para revogar os CMKs de todas as organizações que foram removidas. Clique no botão Gerenciar CMKs no lado direito da tela e em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique em próximo ao status do CMK a ser revogado de uma organização específica na tabela e em Revogar CMK para revogar o CMK dessa organização específica.
12	Assim que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação de CMK não for bem-sucedida, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de Segurança de dados híbridos de vários locatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão passando para a implantação da Segurança de dados híbridos multilocatários.

1

As teclas para um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços criados pelos usuários não estará mais acessível depois que as cópias em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens ao novo espaço.

3

Verifique o resultado do syslog para verificar se as principais solicitações estão passando para a implantação de Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre em kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para legibilidade):

2020-07-21 17:35:34.562 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) KMS INFORMAÇÕES [pool-14-thread-31] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de uma nova chave KMS, filtre em kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-33] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo objeto de recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) KMS DE INFORMAÇÕES [pool-15-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação de Segurança de dados híbridos multilocatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes que causam impacto no serviço.

1	No Hub de parceiros, selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações. A página de Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação do HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualizações do grupo. Quando uma atualização de software fica disponível, você tem a opção de atualizar manualmente o cluster antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão das 3:00 AM Daily United States: América/Los Angeles. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página de Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na guia Configurações do grupo .
6	Na página Configurações do cluster, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: No fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas.

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada—As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Hub de parceiros e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para encerrar a ferramenta de Configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó de segurança de dados híbridos e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós. Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `Unidade de CD/DVD 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Hub de parceiros e, em seguida, selecione Serviços.
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página de Recursos de segurança de dados híbridos.
Selecione seu cluster para exibir o painel de Visão geral.
Clique no nó que você deseja remover.
Clique em Cancelar o registro deste nó no painel exibido à direita
Você também pode cancelar o registro do nó clicando no lado direito do nó e selecionando Remover este nó.

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o data center em espera

O serviço mais crítico que seu grupo de Segurança de dados híbridos fornece é a criação e armazenamento de chaves usadas para criptografar mensagens e outro conteúdo armazenado na nuvem Webex. Para cada usuário dentro da organização atribuído à Segurança de dados híbridos, novas solicitações de criação de chave são roteadas ao cluster. O cluster também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o cluster executa a função crítica de fornecer essas chaves, é imperativo que o cluster permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário se torne indisponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Cancele o registro de todos os nós do Hub de parceiros, conforme mencionado em Remover um nó. Use o arquivo ISO mais recente que foi configurado nos nós do grupo que estava ativo anteriormente para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os organizadores HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no cluster.
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, cancele o registro dos nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário conforme mencionado acima.

(Opcional) Desmontar ISO após configuração do HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO montados continuamente. Você poderá desmontar o arquivo ISO depois que todos os nós HDS atenderem à nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Quando você cria uma nova ISO ou atualiza uma ISO através da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os nós tiverem atendido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No dispositivo do servidor vCenter, selecione o nó HDS.
3	Escolha Editar configurações > Unidade de CD/DVD e desmarque Arquivo ISO do datastore.
4	Ligue o nó HDS e verifique se não há alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS de cada vez.

Solucionar problemas de segurança de dados híbridos

Visualizar alertas e solução de problemas

Uma implantação de Segurança de dados híbridos será considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicite tempo limite. Se os usuários não puderem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha ao descriptografar mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não foi possível buscar as teclas)
- Usuários existentes em um espaço usando um novo cliente (não foi possível buscar chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que seus clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e atenda imediatamente a quaisquer alertas para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibe alertas ao administrador da organização e envia e-mails para o endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Quadro 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas de rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor do banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem caiu.	O registro nos serviços em nuvem foi encerrado. O serviço está desligando.
Serviço ainda não ativado.	Ative o HDS no Partner Hub.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponde ao domínio de ativação de serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha ao autenticar nos serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo do armazenamento de chaves local.	Verifique a integridade e precisão da senha no arquivo de armazenamento de chaves local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível publicar métricas.	Verifique o acesso à rede local a serviços de nuvem externos.
o diretório /media/configdrive/hds não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se foi montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs em organizações de locatários recém-adicionadas usando a ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Hub de parceiros em busca de quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para a atividade da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você encerrar o grupo de Segurança de dados híbridos (excluindo-o no Hub de parceiros ou desligando todos os nós), perder seu arquivo ISO de configuração ou perder o acesso ao banco de dados de armazenamento de chaves, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços sob a lista de Pessoas que foram criados com chaves do seu KMS. No momento, não temos uma solução ou solução para esse problema e recomendamos que você não encerre seus serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Usar o OpenSSL para gerar um arquivo PKCS12

Antes de começar

O OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração HDS. Existem outras formas de fazer isso, e não apoiamos nem promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente suportado. Consulte https://www.openssl.org para obter o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua autoridade de certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -texto -noout -em hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, todos os certificados CA intermediários e os certificados CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO------ ### Certificado do servidor. ### -----TERMINAR CERTIFICADO----------INICIAR CERTIFICADO------ ### Certificado de CA intermediário. ### -----TERMINAR CERTIFICADO-------------------------------------------------------------------------------- ### Certificado DE CA raiz. ### -----------------------`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no prompt para criptografar a chave privada de modo que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Insira a senha de importação: Atributos de OK Bag verificados pelo MACName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos principais: Insira a frase-passe do PEM: Verificando - Insira a frase-passe PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- ------TERMINAR CHAVE PRIVADA CRIPTOGRAFADA----- Atributos do saco friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 assunto=/CN=hds1.org6.portun.us emitente=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Vamos Criptografar Autoridade X3,O=Vamos Criptografar,C=US assunto=/C=US/O=Vamos Criptografar/CN=Vamos Criptografar Autoridade X3 emissor=/O=Digital Signature Trust Co./CN=DST CA Raiz X3 -----COMEÇAR CERTIFICADO---- -----TERMINAR CERTIFICADO-----

O que fazer em seguida

Retorne para Concluir os pré-requisitos para a segurança de dados híbridos. Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os hosts HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam certas métricas para a nuvem Webex. Isso inclui métricas do sistema para o máximo de heap, heap usado, carga da CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou duração da fila de solicitações; métricas no armazenamento de dados e métricas de conexão de criptografia. Os nós enviam material de chave criptografada por um canal fora da banda (separado do pedido).

Tráfego de entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva ao squid.conf:

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela aborda novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros principais que foram corrigidos no Guia de implantação da segurança de dados híbridos multilocatários.

Data	Alterações feitas
30 de janeiro de 2025	Adicionada a versão 2022 do SQL server à lista de servidores SQL suportados em Requisitos do servidor de banco de dados.
15 de janeiro de 2025	Adicionadas limitações da segurança de dados híbridos de vários locatários.
08 de janeiro de 2025	Adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do organizador virtual, Fluxo de tarefas de implantação de segurança de dados híbridos e Instalar o OVA do organizador HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeiro publicado.

Desativar a segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação de HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador completo do parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários.
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogar CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os grupos, conforme mencionado em Remover um nó.
4	Exclua todos os grupos do Hub de parceiros usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página de Recursos, clique em ｟_ph_36｠ no lado direito de um grupo e selecione Remover grupo.
5	Clique na guia de Configurações na página de visão geral da Segurança de dados híbridos e em Desativar HDS no cartão de status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal na criação do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada por clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

A Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode atuar como um provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações de clientes estejam seguros contra acesso externo. As organizações parceiras configuram ocorrências HDS e criam grupos HDS conforme necessário. Cada instância pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdos gerados pelos clientes. Esse acesso é limitado a organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como centros de dados, são de propriedade do parceiro local confiável.

Como a Segurança de dados híbridos multilocatários fornece a soberania e o controle de dados

O conteúdo gerado pelo usuário é protegido contra acesso externo, como provedores de serviços em nuvem.
Os parceiros locais confiáveis gerenciam as chaves de criptografia de clientes com quem eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecido pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Limitações da segurança de dados híbridos de vários locatários

As organizações parceiras não devem ter nenhuma implantação HDS existente ativa no Control Hub.
As organizações de locatários ou clientes que desejam ser gerenciadas por um parceiro não devem ter nenhuma implantação HDS existente no Control Hub.
Depois que o HDS multilocatário for implantado pelo parceiro, todos os usuários das organizações de clientes, bem como os usuários da organização parceira, começarão a aproveitar o HDS multilocatário para seus serviços de criptografia.

A organização parceira e as organizações de clientes que eles gerenciam estarão na mesma implantação HDS multilocatário.

A organização parceira não usará mais o KMS na nuvem depois que o HDS multilocatário for implantado.
Não há nenhum mecanismo para mover as teclas de volta para o KMS em nuvem após uma implantação do HDS.
Atualmente, cada implantação HDS de vários locatários pode ter apenas um grupo, com vários nós sob ele.
As funções de administrador têm certas limitações; consulte a seção abaixo para obter detalhes.

Funções na segurança de dados híbridos de vários locatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes gerenciados pelo parceiro. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações para clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador total - Administrador da organização parceira que está autorizado a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Direitos de administrador completo do parceiro e administrador completo necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador total necessários.

Arquitetura de domínio de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios de confiança, conforme descrito abaixo.

Para entender ainda mais a Segurança de dados híbridos, vamos primeiro dar uma olhada neste caso de nuvem pura, onde a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, está lógica e fisicamente separado do domínio de segurança no centro de dados B. Ambos, por sua vez, estão separados do domínio onde o conteúdo criptografado é armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compor uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa o ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente envia-o para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em pesquisas futuras do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos domínios da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos de outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), o KMS envia a chave para o cliente por meio de um canal protegido por ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave ao seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre como gerar um certificado x.509 para usar com a implantação de segurança de dados híbridos multilocatários.

Expectativas para implantação da segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos que advêm da posse de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um data center seguro em um país que é um local compatível com os planos do Cisco Webex Teams.
O equipamento, software e acesso à rede descritos em Prepare seu ambiente.

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptogravem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas novos conteúdos ficarão visíveis. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e a configuração ISO.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco do banco de dados ou desastre do centro de dados.

Não há nenhum mecanismo para mover as teclas de volta para a nuvem após uma implantação do HDS.

Processo de Configuração de alto nível

Este documento cobre a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos de vários locatários:

Configurar a Segurança de Dados Híbridos—Isso inclui preparar a infraestrutura necessária e instalar o software de Segurança de Dados Híbridos, criar um cluster HDS, adicionar organizações de locatários ao cluster e gerenciar as Chaves Principais do Cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos—A nuvem Webex fornece automaticamente atualizações contínuas. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Hub de parceiros.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o apêndice de Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Dentro do data center corporativo, você implementa a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornecer. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você montar em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Configure os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração do HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro para o mesmo servidor syslog. Os nós em si são sem estado e lidam com as principais solicitações de forma redonda, conforme direcionado pela nuvem.

Os nós ficam ativos quando você os registra no Hub de parceiros. Para tirar um nó individual de serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center em espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação no centro de dados em espera.

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo necessário para executar o failover.

Os nós de Segurança de dados híbridos ativos devem sempre estar no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy — O padrão se você não usar a configuração do nó HDS Trust Store & Proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy.
2. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy.
3. Protocolo proxy—Dependendo do que o servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos de segurança de dados híbridos de vários locatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações parceiras: Entre em contato com seu parceiro ou gerente de contas da Cisco e certifique-se de que o recurso de vários locatários esteja ativado.
Organizações do locatário: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos de área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de configuração. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos de certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Quadro 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma autoridade de certificação (CA) confiável	Por padrão, confiamos nas CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio Common Name (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa ser acessível ou um host ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não suportamos a alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe o uso da chave ou restrições de uso de chave estendidas. Algumas autoridades de certificação exigem que restrições estendidas de uso de chave sejam aplicadas a cada certificado, como a autenticação do servidor. Está tudo bem para usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você irá configurar como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendados) colocados no mesmo centro de dados seguro
O VMware ESXi 7.0 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
Categoria: PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017, 2019 ou 2022 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

Categoria: PostgreSQL

Servidor Microsoft SQL

Controlador JDBC 42.2.5

Controlador do SQL Server JDBC 4.6

Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Requisitos adicionais para autenticação do Windows contra o Microsoft SQL Server

Se você quiser que os nós HDS usem autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, você precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de distribuição de chaves (KDC).
Você pode registrar a instância do banco de dados HDS no Microsoft SQL Server como um nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração HDS, o iniciador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes de sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores do Common Identity Outras URLs listadas para Segurança de dados híbridos na tabela de URLs adicionais para serviços híbridos Webex de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores do Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve estar visível da internet. No seu data center, os clientes precisam acessar os nós de Segurança de dados híbridos nas portas TCP 443 e 22 para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas da região. Estes são os organizadores atuais do CI:

Região	URLs de organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:). Para contornar esse problema, consulte Configurar Squid Proxies para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você está pronto para instalar e configurar o grupo de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS de vários locatários habilitado e obtenha as credenciais de uma conta com administrador completo de parceiros e direitos de administrador completo. Certifique-se de que sua organização do cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de conta da Cisco para obter ajuda com este processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para sua implantação HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no grupo. Você precisa de pelo menos dois organizadores separados (3 recomendados) colocados no mesmo data center seguro, que atendam aos requisitos em Requisitos do organizador virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar esse banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Colete os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma rápida recuperação de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no grupo. Reúna seu endereço de rede e a porta de syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host syslog. No mínimo, para evitar a perda de dados irrecuperáveis, você deve fazer o backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves, de modo que uma interrupção pode não ser imediatamente percebida, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (nenhum backup disponível) do banco de dados ou arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise de 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Você usa a ocorrência do Docker para baixar e executar a Ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte os Requisitos de desktop do Docker para obter mais informações. Para instalar e executar a Ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com Segurança de dados híbridos, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.
5	Carregar e montar a ISO da configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registre o primeiro nó no grupo Registre a VM com o Cisco Webex Cloud como um nó de segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Hub de parceiros.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós de Segurança de dados híbridos). Você pode usar esse arquivo mais tarde no processo de instalação.

1	Inicie sessão no Hub de parceiros e clique em Serviços.
2	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar. Clicar em Configurar no Hub de parceiros é fundamental para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e em Baixar arquivo .OVA no cartão Instalar e configurar software . As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes de Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento na seção de Ajuda . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos. O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local em sua máquina.
4	Opcionalmente, clique em Consulte o guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

login do docker -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker puxar ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker puxar ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o localhost http://127.0.0.1:8080 e insira o nome de usuário do administrador do Hub de parceiros no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página de visão geral da ferramenta de configuração, clique em Introdução.

9

Na página Importação ISO , você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, você não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO na navegação e carregue-o.

10

Verifique se o certificado X.509 atende aos requisitos em Requisitos de certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados chave:

Selecione o Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, receberá um campo de tipo de autenticação.
(Apenas Microsoft SQL Server ) Selecione o Tipo de autenticação:
- Autenticação básica: Você precisa de um nome de conta do servidor SQL local no campo Nome de usuário .
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor do banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você poderá usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando a autenticação do Windows, você deve inserir um nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados.
Insira o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão do banco de dados TLS:

Mode	Descrição
Prefira TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Porta e host do banco de dados . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carregar o certificado raiz (se necessário) e clicar em Continuar, a Ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós do HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da ferramenta de configuração do HDS não possa testá-la com êxito.)

13

Na página Logs do sistema, configure o servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós para o seu grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o logon no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar a criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação de registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher se a nova linha será usada para Graylog e Rsyslog TCP
- bytes nulos -- \x00
- Nova linha -- \n—Selecione essa opção para TCP Graylog e Rsyslog.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão de alguns parâmetros de conexão do banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxTamanho: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem prestes a expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.

18

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou fazer alterações de configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo.
4	Na página Selecionar um nome e pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Próximo.
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo. Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo.
7	Se você for solicitado a escolher a configuração de recurso na página de Configuração , clique em 4 CPU e, em seguida, clique em Próximo.
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento de VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host—Insira o FQDN (nome do host e domínio) ou um nome de host de palavra única para o nó. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou nome do organizador que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço de IP— Insira o endereço de IP para a interface interna do nó. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado. Máscara—Insira o endereço da máscara de sub-rede na notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS—Insira uma lista separada por vírgulas de servidores DNS, que lida com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP—Insira o servidor NTP da sua organização ou outro servidor NTP externo que possa ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós de um cluster possam ser acessados de clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações do console do nó. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Ligar > Ligar. O software de Segurança de dados híbridos é instalado como um convidado no Host de VM. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os recipientes do nó aparecerem. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console de VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione sua VM do nó de segurança de dados híbridos e clique na guia Console . A VM inicializa e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter.
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `Cisco` Como você está iniciando sessão na VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já definiu as configurações de rede em Instalar o OVA do organizador HDS, pule o resto deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, máscara, gateway e DNS. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou os servidores NTP, se necessário para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar a ISO da configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO possui a chave mestra, ele só deve ser exposto com base em "necessidade de saber", para acesso das VMs de segurança de dados híbridos e de quaisquer administradores que precisem fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista de Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no armazenamento de dados das suas VMs e clique em Procurar datastore.
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o aviso da operação de carregamento/download e feche a caixa de diálogo de armazenamento de dados.

2

Montar o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restrita.
Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os nós capturarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy—A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir quaisquer alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy. Protocolo proxy—Escolha http (exibe e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, consulte Desativar modo de resolução DNS externa bloqueada.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registre o primeiro nó no grupo

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbridos, registra o nó com a nuvem Webex e o transforma em um nó de Segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó está atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar.
4	Na página que é aberta, clique em Adicionar um recurso.
5	No primeiro campo do cartão Adicionar um nó , insira um nome para o grupo ao qual você deseja atribuir o nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base no local onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova Iorque" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos. Uma mensagem será exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar o nó.
8	Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. Na página de Segurança de dados híbridos , o novo grupo contendo o nó que você registrou é exibido na guia de Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual no OVA, repetindo as etapas em Instalar o OVA do organizador HDS.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos.
3	Na nova VM, repita as etapas em Carregar e montar a ISO de configuração HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços de nuvem, encontre o cartão de Segurança de dados híbridos e clique em Exibir tudo. A página de Recursos de segurança de dados híbridos é exibida. O cluster recém-criado aparecerá na página de Recursos . Clique no cluster para visualizar os nós atribuídos ao cluster. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar. Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar o nó. Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. A mensagem pop-up do nó adicionado também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar o HDS multilocatário no Hub do parceiro

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS de vários locatários com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações.
4	Clique em Ativar HDS no cartão de Status HDS .

Adicionar organizações de locatários no Hub de parceiros

Nesta tarefa, você atribui organizações de clientes ao Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Clique no cluster ao qual você deseja que um cliente seja atribuído.
5	Vá para a guia de Clientes atribuídos .
6	Clique em Adicionar clientes.
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar e o cliente será adicionado ao cluster.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique em Concluído na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao cluster apropriado, conforme detalhado em Adicionar organizações de locatários no Hub de parceiros. Execute a ferramenta de configuração do HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o. Certifique-se de conectividade com o banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Criar CMK para todas as ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e em Criar CMKs para criar CMKs de todas as organizações recém-adicionadas. Clique no status pendente do gerenciamento de CMK de uma organização específica na tabela e clique em Criar CMK para criar o CMK para essa organização.
12	Assim que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento de CMK pendente para CMK gerenciado.
13	Se a criação do CMK não for bem-sucedida, um erro será exibido.

Remover organizações de locatários

Antes de começar

Uma vez removidos, os usuários das organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de contas da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Na guia de Recursos , clique no cluster do qual você deseja remover organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos.
6	Na lista de organizações de clientes exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do cluster.

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários. Execute a ferramenta de configuração do HDS para concluir o processo de remoção das organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Revogar o CMK de todas as ORGs ou Revogar o CMK - Clique neste botão no banner na parte superior da tela para revogar os CMKs de todas as organizações que foram removidas. Clique no botão Gerenciar CMKs no lado direito da tela e em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique em próximo ao status do CMK a ser revogado de uma organização específica na tabela e em Revogar CMK para revogar o CMK dessa organização específica.
12	Assim que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação de CMK não for bem-sucedida, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de Segurança de dados híbridos de vários locatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão passando para a implantação da Segurança de dados híbridos multilocatários.

1

As teclas para um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços criados pelos usuários não estará mais acessível depois que as cópias em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens ao novo espaço.

3

Verifique o resultado do syslog para verificar se as principais solicitações estão passando para a implantação de Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre em kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para legibilidade):

2020-07-21 17:35:34.562 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) KMS INFORMAÇÕES [pool-14-thread-31] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de uma nova chave KMS, filtre em kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-33] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo objeto de recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) KMS DE INFORMAÇÕES [pool-15-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação de Segurança de dados híbridos multilocatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes que causam impacto no serviço.

1	No Hub de parceiros, selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações. A página de Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação do HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualizações do grupo. Quando uma atualização de software fica disponível, você tem a opção de atualizar manualmente o cluster antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão das 3:00 AM Daily United States: América/Los Angeles. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página de Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na guia Configurações do grupo .
6	Na página Configurações do cluster, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: No fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas.

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada—As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Hub de parceiros e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para encerrar a ferramenta de Configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó de segurança de dados híbridos e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós. Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `Unidade de CD/DVD 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Hub de parceiros e, em seguida, selecione Serviços.
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página de Recursos de segurança de dados híbridos.
Selecione seu cluster para exibir o painel de Visão geral.
Clique no nó que você deseja remover.
Clique em Cancelar o registro deste nó no painel exibido à direita
Você também pode cancelar o registro do nó clicando no lado direito do nó e selecionando Remover este nó.

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o data center em espera

O serviço mais crítico que seu grupo de Segurança de dados híbridos fornece é a criação e armazenamento de chaves usadas para criptografar mensagens e outro conteúdo armazenado na nuvem Webex. Para cada usuário dentro da organização atribuído à Segurança de dados híbridos, novas solicitações de criação de chave são roteadas ao cluster. O cluster também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o cluster executa a função crítica de fornecer essas chaves, é imperativo que o cluster permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário se torne indisponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Cancele o registro de todos os nós do Hub de parceiros, conforme mencionado em Remover um nó. Use o arquivo ISO mais recente que foi configurado nos nós do grupo que estava ativo anteriormente para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os organizadores HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no cluster.
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, cancele o registro dos nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário conforme mencionado acima.

(Opcional) Desmontar ISO após configuração do HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO montados continuamente. Você poderá desmontar o arquivo ISO depois que todos os nós HDS atenderem à nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Quando você cria uma nova ISO ou atualiza uma ISO através da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os nós tiverem atendido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No dispositivo do servidor vCenter, selecione o nó HDS.
3	Escolha Editar configurações > Unidade de CD/DVD e desmarque Arquivo ISO do datastore.
4	Ligue o nó HDS e verifique se não há alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS de cada vez.

Solucionar problemas de segurança de dados híbridos

Visualizar alertas e solução de problemas

Uma implantação de Segurança de dados híbridos será considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicite tempo limite. Se os usuários não puderem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha ao descriptografar mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não foi possível buscar as teclas)
- Usuários existentes em um espaço usando um novo cliente (não foi possível buscar chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que seus clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e atenda imediatamente a quaisquer alertas para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibe alertas ao administrador da organização e envia e-mails para o endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Quadro 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas de rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor do banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem caiu.	O registro nos serviços em nuvem foi encerrado. O serviço está desligando.
Serviço ainda não ativado.	Ative o HDS no Partner Hub.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponde ao domínio de ativação de serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha ao autenticar nos serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo do armazenamento de chaves local.	Verifique a integridade e precisão da senha no arquivo de armazenamento de chaves local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível publicar métricas.	Verifique o acesso à rede local a serviços de nuvem externos.
o diretório /media/configdrive/hds não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se foi montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs em organizações de locatários recém-adicionadas usando a ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Hub de parceiros em busca de quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para a atividade da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você encerrar o grupo de Segurança de dados híbridos (excluindo-o no Hub de parceiros ou desligando todos os nós), perder seu arquivo ISO de configuração ou perder o acesso ao banco de dados de armazenamento de chaves, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços sob a lista de Pessoas que foram criados com chaves do seu KMS. No momento, não temos uma solução ou solução para esse problema e recomendamos que você não encerre seus serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Usar o OpenSSL para gerar um arquivo PKCS12

Antes de começar

O OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração HDS. Existem outras formas de fazer isso, e não apoiamos nem promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente suportado. Consulte https://www.openssl.org para obter o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua autoridade de certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -texto -noout -em hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, todos os certificados CA intermediários e os certificados CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO------ ### Certificado do servidor. ### -----TERMINAR CERTIFICADO----------INICIAR CERTIFICADO------ ### Certificado de CA intermediário. ### -----TERMINAR CERTIFICADO-------------------------------------------------------------------------------- ### Certificado DE CA raiz. ### -----------------------`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no prompt para criptografar a chave privada de modo que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Insira a senha de importação: Atributos de OK Bag verificados pelo MACName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos principais: Insira a frase-passe do PEM: Verificando - Insira a frase-passe PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- ------TERMINAR CHAVE PRIVADA CRIPTOGRAFADA----- Atributos do saco friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 assunto=/CN=hds1.org6.portun.us emitente=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Vamos Criptografar Autoridade X3,O=Vamos Criptografar,C=US assunto=/C=US/O=Vamos Criptografar/CN=Vamos Criptografar Autoridade X3 emissor=/O=Digital Signature Trust Co./CN=DST CA Raiz X3 -----COMEÇAR CERTIFICADO---- -----TERMINAR CERTIFICADO-----

O que fazer em seguida

Retorne para Concluir os pré-requisitos para a segurança de dados híbridos. Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os hosts HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam certas métricas para a nuvem Webex. Isso inclui métricas do sistema para o máximo de heap, heap usado, carga da CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou duração da fila de solicitações; métricas no armazenamento de dados e métricas de conexão de criptografia. Os nós enviam material de chave criptografada por um canal fora da banda (separado do pedido).

Tráfego de entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva ao squid.conf:

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela aborda novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros principais que foram corrigidos no Guia de implantação da segurança de dados híbridos multilocatários.

Data	Alterações feitas
30 de janeiro de 2025	Adicionada a versão 2022 do SQL server à lista de servidores SQL suportados em Requisitos do servidor de banco de dados.
15 de janeiro de 2025	Adicionadas limitações da segurança de dados híbridos de vários locatários.
08 de janeiro de 2025	Adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do organizador virtual, Fluxo de tarefas de implantação de segurança de dados híbridos e Instalar o OVA do organizador HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeiro publicado.

Desativar a segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação de HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador completo do parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários.
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogar CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os grupos, conforme mencionado em Remover um nó.
4	Exclua todos os grupos do Hub de parceiros usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página de Recursos, clique em ｟_ph_36｠ no lado direito de um grupo e selecione Remover grupo.
5	Clique na guia de Configurações na página de visão geral da Segurança de dados híbridos e em Desativar HDS no cartão de status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal na criação do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada por clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

A Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode atuar como um provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações de clientes estejam seguros contra acesso externo. As organizações parceiras configuram ocorrências HDS e criam grupos HDS conforme necessário. Cada instância pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdos gerados pelos clientes. Esse acesso é limitado a organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como centros de dados, são de propriedade do parceiro local confiável.

Como a Segurança de dados híbridos multilocatários fornece a soberania e o controle de dados

O conteúdo gerado pelo usuário é protegido contra acesso externo, como provedores de serviços em nuvem.
Os parceiros locais confiáveis gerenciam as chaves de criptografia de clientes com quem eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecido pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Limitações da segurança de dados híbridos de vários locatários

As organizações parceiras não devem ter nenhuma implantação HDS existente ativa no Control Hub.
As organizações de locatários ou clientes que desejam ser gerenciadas por um parceiro não devem ter nenhuma implantação HDS existente no Control Hub.
Depois que o HDS multilocatário for implantado pelo parceiro, todos os usuários das organizações de clientes, bem como os usuários da organização parceira, começarão a aproveitar o HDS multilocatário para seus serviços de criptografia.

A organização parceira e as organizações de clientes que eles gerenciam estarão na mesma implantação HDS multilocatário.

A organização parceira não usará mais o KMS na nuvem depois que o HDS multilocatário for implantado.
Não há nenhum mecanismo para mover as teclas de volta para o KMS em nuvem após uma implantação do HDS.
Atualmente, cada implantação HDS de vários locatários pode ter apenas um grupo, com vários nós sob ele.
As funções de administrador têm certas limitações; consulte a seção abaixo para obter detalhes.

Funções na segurança de dados híbridos de vários locatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes gerenciados pelo parceiro. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações para clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador total - Administrador da organização parceira que está autorizado a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Direitos de administrador completo do parceiro e administrador completo necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador total necessários.

Arquitetura de domínio de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios de confiança, conforme descrito abaixo.

Para entender ainda mais a Segurança de dados híbridos, vamos primeiro dar uma olhada neste caso de nuvem pura, onde a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, está lógica e fisicamente separado do domínio de segurança no centro de dados B. Ambos, por sua vez, estão separados do domínio onde o conteúdo criptografado é armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compor uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa o ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente envia-o para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em pesquisas futuras do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos domínios da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos de outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), o KMS envia a chave para o cliente por meio de um canal protegido por ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave ao seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre como gerar um certificado x.509 para usar com a implantação de segurança de dados híbridos multilocatários.

Expectativas para implantação da segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos que advêm da posse de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um data center seguro em um país que é um local compatível com os planos do Cisco Webex Teams.
O equipamento, software e acesso à rede descritos em Prepare seu ambiente.

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptogravem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas novos conteúdos ficarão visíveis. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e a configuração ISO.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco do banco de dados ou desastre do centro de dados.

Não há nenhum mecanismo para mover as teclas de volta para a nuvem após uma implantação do HDS.

Processo de Configuração de alto nível

Este documento cobre a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos de vários locatários:

Configurar a Segurança de Dados Híbridos—Isso inclui preparar a infraestrutura necessária e instalar o software de Segurança de Dados Híbridos, criar um cluster HDS, adicionar organizações de locatários ao cluster e gerenciar as Chaves Principais do Cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos—A nuvem Webex fornece automaticamente atualizações contínuas. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Hub de parceiros.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o apêndice de Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Dentro do data center corporativo, você implementa a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornecer. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você montar em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Configure os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração do HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro para o mesmo servidor syslog. Os nós em si são sem estado e lidam com as principais solicitações de forma redonda, conforme direcionado pela nuvem.

Os nós ficam ativos quando você os registra no Hub de parceiros. Para tirar um nó individual de serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center em espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação no centro de dados em espera.

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo necessário para executar o failover.

Os nós de Segurança de dados híbridos ativos devem sempre estar no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy — O padrão se você não usar a configuração do nó HDS Trust Store & Proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy.
2. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy.
3. Protocolo proxy—Dependendo do que o servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos de segurança de dados híbridos de vários locatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações parceiras: Entre em contato com seu parceiro ou gerente de contas da Cisco e certifique-se de que o recurso de vários locatários esteja ativado.
Organizações do locatário: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos de área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de configuração. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Requisitos de certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Quadro 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma autoridade de certificação (CA) confiável	Por padrão, confiamos nas CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio Common Name (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa ser acessível ou um host ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não suportamos a alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe o uso da chave ou restrições de uso de chave estendidas. Algumas autoridades de certificação exigem que restrições estendidas de uso de chave sejam aplicadas a cada certificado, como a autenticação do servidor. Está tudo bem para usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você irá configurar como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendados) colocados no mesmo centro de dados seguro
O VMware ESXi 7.0 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
Categoria: PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017, 2019 ou 2022 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

Categoria: PostgreSQL

Servidor Microsoft SQL

Controlador JDBC 42.2.5

Controlador do SQL Server JDBC 4.6

Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Requisitos adicionais para autenticação do Windows contra o Microsoft SQL Server

Se você quiser que os nós HDS usem autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, você precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de distribuição de chaves (KDC).
Você pode registrar a instância do banco de dados HDS no Microsoft SQL Server como um nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração HDS, o iniciador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes de sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores do Common Identity Outras URLs listadas para Segurança de dados híbridos na tabela de URLs adicionais para serviços híbridos Webex de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores do Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve estar visível da internet. No seu data center, os clientes precisam acessar os nós de Segurança de dados híbridos nas portas TCP 443 e 22 para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas da região. Estes são os organizadores atuais do CI:

Região	URLs de organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:). Para contornar esse problema, consulte Configurar Squid Proxies para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você está pronto para instalar e configurar o grupo de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS de vários locatários habilitado e obtenha as credenciais de uma conta com administrador completo de parceiros e direitos de administrador completo. Certifique-se de que sua organização do cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de conta da Cisco para obter ajuda com este processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para sua implantação HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no grupo. Você precisa de pelo menos dois organizadores separados (3 recomendados) colocados no mesmo data center seguro, que atendam aos requisitos em Requisitos do organizador virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar esse banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Colete os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma rápida recuperação de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no grupo. Reúna seu endereço de rede e a porta de syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host syslog. No mínimo, para evitar a perda de dados irrecuperáveis, você deve fazer o backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves, de modo que uma interrupção pode não ser imediatamente percebida, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (nenhum backup disponível) do banco de dados ou arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise de 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Você usa a ocorrência do Docker para baixar e executar a Ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte os Requisitos de desktop do Docker para obter mais informações. Para instalar e executar a Ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com Segurança de dados híbridos, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.
5	Carregar e montar a ISO da configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registre o primeiro nó no grupo Registre a VM com o Cisco Webex Cloud como um nó de segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Hub de parceiros.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós de Segurança de dados híbridos). Você pode usar esse arquivo mais tarde no processo de instalação.

1	Inicie sessão no Hub de parceiros e clique em Serviços.
2	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar. Clicar em Configurar no Hub de parceiros é fundamental para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e em Baixar arquivo .OVA no cartão Instalar e configurar software . As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes de Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento na seção de Ajuda . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos. O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local em sua máquina.
4	Opcionalmente, clique em Consulte o guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

login do docker -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker puxar ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker puxar ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o localhost http://127.0.0.1:8080 e insira o nome de usuário do administrador do Hub de parceiros no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página de visão geral da ferramenta de configuração, clique em Introdução.

9

Na página Importação ISO , você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, você não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO na navegação e carregue-o.

10

Verifique se o certificado X.509 atende aos requisitos em Requisitos de certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados chave:

Selecione o Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, receberá um campo de tipo de autenticação.
(Apenas Microsoft SQL Server ) Selecione o Tipo de autenticação:
- Autenticação básica: Você precisa de um nome de conta do servidor SQL local no campo Nome de usuário .
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor do banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você poderá usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando a autenticação do Windows, você deve inserir um nome de domínio totalmente qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados.
Insira o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão do banco de dados TLS:

Mode	Descrição
Prefira TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Porta e host do banco de dados . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carregar o certificado raiz (se necessário) e clicar em Continuar, a Ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós do HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da ferramenta de configuração do HDS não possa testá-la com êxito.)

13

Na página Logs do sistema, configure o servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós para o seu grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o logon no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar a criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação de registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher se a nova linha será usada para Graylog e Rsyslog TCP
- bytes nulos -- \x00
- Nova linha -- \n—Selecione essa opção para TCP Graylog e Rsyslog.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão de alguns parâmetros de conexão do banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxTamanho: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem prestes a expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.

18

Para encerrar a ferramenta de Configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou fazer alterações de configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo.
4	Na página Selecionar um nome e pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Próximo.
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo. Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo.
7	Se você for solicitado a escolher a configuração de recurso na página de Configuração , clique em 4 CPU e, em seguida, clique em Próximo.
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento de VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host—Insira o FQDN (nome do host e domínio) ou um nome de host de palavra única para o nó. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou nome do organizador que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço de IP— Insira o endereço de IP para a interface interna do nó. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado. Máscara—Insira o endereço da máscara de sub-rede na notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS—Insira uma lista separada por vírgulas de servidores DNS, que lida com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP—Insira o servidor NTP da sua organização ou outro servidor NTP externo que possa ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós de um cluster possam ser acessados de clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações do console do nó. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Ligar > Ligar. O software de Segurança de dados híbridos é instalado como um convidado no Host de VM. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os recipientes do nó aparecerem. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console de VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione sua VM do nó de segurança de dados híbridos e clique na guia Console . A VM inicializa e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter.
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `Cisco` Como você está iniciando sessão na VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já definiu as configurações de rede em Instalar o OVA do organizador HDS, pule o resto deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, máscara, gateway e DNS. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou os servidores NTP, se necessário para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar a ISO da configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO possui a chave mestra, ele só deve ser exposto com base em "necessidade de saber", para acesso das VMs de segurança de dados híbridos e de quaisquer administradores que precisem fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista de Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no armazenamento de dados das suas VMs e clique em Procurar datastore.
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o aviso da operação de carregamento/download e feche a caixa de diálogo de armazenamento de dados.

2

Montar o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restrita.
Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os nós capturarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira o URL de configuração do nó HDS `https/[Internet node IP ou FQDN]/Setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy—A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir quaisquer alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy. Protocolo proxy—Escolha http (exibe e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, consulte Desativar modo de resolução DNS externa bloqueada.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registre o primeiro nó no grupo

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbridos, registra o nó com a nuvem Webex e o transforma em um nó de Segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó está atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar.
4	Na página que é aberta, clique em Adicionar um recurso.
5	No primeiro campo do cartão Adicionar um nó , insira um nome para o grupo ao qual você deseja atribuir o nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base no local onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova Iorque" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos. Uma mensagem será exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar o nó.
8	Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. Na página de Segurança de dados híbridos , o novo grupo contendo o nó que você registrou é exibido na guia de Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual no OVA, repetindo as etapas em Instalar o OVA do organizador HDS.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos.
3	Na nova VM, repita as etapas em Carregar e montar a ISO de configuração HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços de nuvem, encontre o cartão de Segurança de dados híbridos e clique em Exibir tudo. A página de Recursos de segurança de dados híbridos é exibida. O cluster recém-criado aparecerá na página de Recursos . Clique no cluster para visualizar os nós atribuídos ao cluster. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar. Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar o nó. Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. A mensagem pop-up do nó adicionado também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar o HDS multilocatário no Hub do parceiro

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS de vários locatários com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações.
4	Clique em Ativar HDS no cartão de Status HDS .

Adicionar organizações de locatários no Hub de parceiros

Nesta tarefa, você atribui organizações de clientes ao Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Clique no cluster ao qual você deseja que um cliente seja atribuído.
5	Vá para a guia de Clientes atribuídos .
6	Clique em Adicionar clientes.
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar e o cliente será adicionado ao cluster.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique em Concluído na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao cluster apropriado, conforme detalhado em Adicionar organizações de locatários no Hub de parceiros. Execute a ferramenta de configuração do HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o. Certifique-se de conectividade com o banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Criar CMK para todas as ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e em Criar CMKs para criar CMKs de todas as organizações recém-adicionadas. Clique no status pendente do gerenciamento de CMK de uma organização específica na tabela e clique em Criar CMK para criar o CMK para essa organização.
12	Assim que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento de CMK pendente para CMK gerenciado.
13	Se a criação do CMK não for bem-sucedida, um erro será exibido.

Remover organizações de locatários

Antes de começar

Uma vez removidos, os usuários das organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de contas da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Na guia de Recursos , clique no cluster do qual você deseja remover organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos.
6	Na lista de organizações de clientes exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do cluster.

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários. Execute a ferramenta de configuração do HDS para concluir o processo de remoção das organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Revogar o CMK de todas as ORGs ou Revogar o CMK - Clique neste botão no banner na parte superior da tela para revogar os CMKs de todas as organizações que foram removidas. Clique no botão Gerenciar CMKs no lado direito da tela e em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique em próximo ao status do CMK a ser revogado de uma organização específica na tabela e em Revogar CMK para revogar o CMK dessa organização específica.
12	Assim que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação de CMK não for bem-sucedida, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de Segurança de dados híbridos de vários locatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão passando para a implantação da Segurança de dados híbridos multilocatários.

1

As teclas para um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços criados pelos usuários não estará mais acessível depois que as cópias em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens ao novo espaço.

3

Verifique o resultado do syslog para verificar se as principais solicitações estão passando para a implantação de Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre em kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para legibilidade):

2020-07-21 17:35:34.562 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) KMS INFORMAÇÕES [pool-14-thread-31] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de uma nova chave KMS, filtre em kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) KMS DE INFORMAÇÕES [pool-14-thread-33] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar se um usuário está solicitando a criação de um novo objeto de recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) KMS DE INFORMAÇÕES [pool-15-thread-1] - [KMS:REQUEST] recebido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação de Segurança de dados híbridos multilocatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes que causam impacto no serviço.

1	No Hub de parceiros, selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações. A página de Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação do HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualizações do grupo. Quando uma atualização de software fica disponível, você tem a opção de atualizar manualmente o cluster antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão das 3:00 AM Daily United States: América/Los Angeles. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página de Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na guia Configurações do grupo .
6	Na página Configurações do cluster, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: No fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas.

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada—As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://username:password@server_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://username:password@server_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `login do docker -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker puxar ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker puxar ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `execução do docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `execução do docker - p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT CISCOCITG/HDS-setup-fedramp:stable` Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Hub de parceiros e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para encerrar a ferramenta de Configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó de segurança de dados híbridos e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós. Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `Unidade de CD/DVD 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Hub de parceiros e, em seguida, selecione Serviços.
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página de Recursos de segurança de dados híbridos.
Selecione seu cluster para exibir o painel de Visão geral.
Clique no nó que você deseja remover.
Clique em Cancelar o registro deste nó no painel exibido à direita
Você também pode cancelar o registro do nó clicando no lado direito do nó e selecionando Remover este nó.

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o data center em espera

O serviço mais crítico que seu grupo de Segurança de dados híbridos fornece é a criação e armazenamento de chaves usadas para criptografar mensagens e outro conteúdo armazenado na nuvem Webex. Para cada usuário dentro da organização atribuído à Segurança de dados híbridos, novas solicitações de criação de chave são roteadas ao cluster. O cluster também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o cluster executa a função crítica de fornecer essas chaves, é imperativo que o cluster permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário se torne indisponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Cancele o registro de todos os nós do Hub de parceiros, conforme mencionado em Remover um nó. Use o arquivo ISO mais recente que foi configurado nos nós do grupo que estava ativo anteriormente para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os organizadores HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no cluster.
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, cancele o registro dos nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário conforme mencionado acima.

(Opcional) Desmontar ISO após configuração do HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO montados continuamente. Você poderá desmontar o arquivo ISO depois que todos os nós HDS atenderem à nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Quando você cria uma nova ISO ou atualiza uma ISO através da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os nós tiverem atendido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No dispositivo do servidor vCenter, selecione o nó HDS.
3	Escolha Editar configurações > Unidade de CD/DVD e desmarque Arquivo ISO do datastore.
4	Ligue o nó HDS e verifique se não há alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS de cada vez.

Solucionar problemas de segurança de dados híbridos

Visualizar alertas e solução de problemas

Uma implantação de Segurança de dados híbridos será considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicite tempo limite. Se os usuários não puderem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha ao descriptografar mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não foi possível buscar as teclas)
- Usuários existentes em um espaço usando um novo cliente (não foi possível buscar chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que seus clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e atenda imediatamente a quaisquer alertas para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibe alertas ao administrador da organização e envia e-mails para o endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Quadro 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas de rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor do banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem caiu.	O registro nos serviços em nuvem foi encerrado. O serviço está desligando.
Serviço ainda não ativado.	Ative o HDS no Partner Hub.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponde ao domínio de ativação de serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha ao autenticar nos serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo do armazenamento de chaves local.	Verifique a integridade e precisão da senha no arquivo de armazenamento de chaves local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível publicar métricas.	Verifique o acesso à rede local a serviços de nuvem externos.
o diretório /media/configdrive/hds não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se foi montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs em organizações de locatários recém-adicionadas usando a ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Hub de parceiros em busca de quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para a atividade da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você encerrar o grupo de Segurança de dados híbridos (excluindo-o no Hub de parceiros ou desligando todos os nós), perder seu arquivo ISO de configuração ou perder o acesso ao banco de dados de armazenamento de chaves, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços sob a lista de Pessoas que foram criados com chaves do seu KMS. No momento, não temos uma solução ou solução para esse problema e recomendamos que você não encerre seus serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Usar o OpenSSL para gerar um arquivo PKCS12

Antes de começar

O OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração HDS. Existem outras formas de fazer isso, e não apoiamos nem promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente suportado. Consulte https://www.openssl.org para obter o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua autoridade de certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -texto -noout -em hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, todos os certificados CA intermediários e os certificados CA raiz, no formato abaixo: `-----INICIAR CERTIFICADO------ ### Certificado do servidor. ### -----TERMINAR CERTIFICADO----------INICIAR CERTIFICADO------ ### Certificado de CA intermediário. ### -----TERMINAR CERTIFICADO-------------------------------------------------------------------------------- ### Certificado DE CA raiz. ### -----------------------`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 - em hdsnode.p12` Insira uma senha no prompt para criptografar a chave privada de modo que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Insira a senha de importação: Atributos de OK Bag verificados pelo MACName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos principais: Insira a frase-passe do PEM: Verificando - Insira a frase-passe PEM: -----INICIAR CHAVE PRIVADA CRIPTOGRAFADA----- ------TERMINAR CHAVE PRIVADA CRIPTOGRAFADA----- Atributos do saco friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 assunto=/CN=hds1.org6.portun.us emitente=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Vamos Criptografar Autoridade X3,O=Vamos Criptografar,C=US assunto=/C=US/O=Vamos Criptografar/CN=Vamos Criptografar Autoridade X3 emissor=/O=Digital Signature Trust Co./CN=DST CA Raiz X3 -----COMEÇAR CERTIFICADO---- -----TERMINAR CERTIFICADO-----

O que fazer em seguida

Retorne para Concluir os pré-requisitos para a segurança de dados híbridos. Você usará o arquivo hdsnode.p12 e a senha que você definiu para ele em Criar uma ISO de configuração para os hosts HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam certas métricas para a nuvem Webex. Isso inclui métricas do sistema para o máximo de heap, heap usado, carga da CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou duração da fila de solicitações; métricas no armazenamento de dados e métricas de conexão de criptografia. Os nós enviam material de chave criptografada por um canal fora da banda (separado do pedido).

Tráfego de entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva ao squid.conf:

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela aborda novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros principais que foram corrigidos no Guia de implantação da segurança de dados híbridos multilocatários.

Data	Alterações feitas
04 de março de 2025	Adicionada a seção Executar a ferramenta de configuração HDS usando o Podman Desktop . Adicionada uma nota nos Requisitos de desktop do Docker fornecendo aos clientes uma opção alternativa de código aberto. Atualizadas Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com instruções para usar o Desktop Podman para clientes sem uma licença do Docker Desktop.
30 de janeiro de 2025	Adicionada a versão 2022 do SQL server à lista de servidores SQL suportados em Requisitos do servidor de banco de dados.
15 de janeiro de 2025	Adicionadas Limitações da segurança de dados híbridos multilocatários.
08 de janeiro de 2025	Adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do organizador virtual, Fluxo de tarefas de implantação de segurança de dados híbridos e Instalar o OVA do organizador HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeiro publicado.

Desativar a segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação de HDS de vários locatários

Siga estas etapas para desativar completamente o HDS multilocatário.

Antes de começar

Esta tarefa deve ser executada apenas por um administrador completo do parceiro.

1	Remova todos os clientes de todos os seus grupos, conforme mencionado em Remover organizações de locatários.
2	Revogue os CMKs de todos os clientes, conforme mencionado em Revogar CMKs de locatários removidos do HDS..
3	Remova todos os nós de todos os grupos, conforme mencionado em Remover um nó.
4	Exclua todos os grupos do Hub de parceiros usando um dos dois métodos a seguir. Clique no grupo que deseja excluir e selecione Excluir este grupo no canto superior direito da página de visão geral. Na página de Recursos, clique em ｟_ph_36｠ no lado direito de um grupo e selecione Remover grupo.
5	Clique na guia de Configurações na página de visão geral da Segurança de dados híbridos e em Desativar HDS no cartão de status HDS.

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal na criação do aplicativo Webex. A pedra angular dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada por clientes do aplicativo Webex que interagem com o serviço de gerenciamento de chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

A Segurança de dados híbridos multilocatários permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode atuar como um provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações de clientes estejam seguros contra acesso externo. As organizações parceiras configuram ocorrências HDS e criam grupos HDS conforme necessário. Cada instância pode oferecer suporte a várias organizações de clientes, ao contrário de uma implantação HDS regular, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e conteúdos gerados pelos clientes. Esse acesso é limitado a organizações de clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, uma vez que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como centros de dados, são de propriedade do parceiro local confiável.

Como a Segurança de dados híbridos multilocatários fornece a soberania e o controle de dados

O conteúdo gerado pelo usuário é protegido contra acesso externo, como provedores de serviços em nuvem.
Os parceiros locais confiáveis gerenciam as chaves de criptografia de clientes com quem eles já têm um relacionamento estabelecido.
Opção para suporte técnico local, se fornecido pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento destina-se a ajudar organizações parceiras a configurar e gerenciar clientes em um sistema de Segurança de dados híbridos multilocatários.

Limitações da segurança de dados híbridos de vários locatários

As organizações parceiras não devem ter nenhuma implantação HDS existente ativa no Control Hub.
As organizações de locatários ou clientes que desejam ser gerenciadas por um parceiro não devem ter nenhuma implantação HDS existente no Control Hub.
Depois que o HDS multilocatário for implantado pelo parceiro, todos os usuários das organizações de clientes, bem como os usuários da organização parceira, começarão a aproveitar o HDS multilocatário para seus serviços de criptografia.

A organização parceira e as organizações de clientes que eles gerenciam estarão na mesma implantação HDS multilocatário.

A organização parceira não usará mais o KMS na nuvem depois que o HDS multilocatário for implantado.
Não há nenhum mecanismo para mover as teclas de volta para o KMS em nuvem após uma implantação do HDS.
Atualmente, cada implantação HDS de vários locatários pode ter apenas um grupo, com vários nós sob ele.
As funções de administrador têm certas limitações; consulte a seção abaixo para obter detalhes.

Funções na segurança de dados híbridos de vários locatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes gerenciados pelo parceiro. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar as configurações para clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador total - Administrador da organização parceira que está autorizado a realizar tarefas como modificar as configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatários de ponta a ponta de todas as organizações de clientes - Direitos de administrador completo do parceiro e administrador completo necessários.
Gerenciamento de organizações de locatários atribuídas - Administrador de parceiros e direitos de administrador total necessários.

Arquitetura de domínio de segurança

A arquitetura de nuvem Webex separa diferentes tipos de serviços em domínios separados ou domínios de confiança, conforme descrito abaixo.

Para entender ainda mais a Segurança de dados híbridos, vamos primeiro dar uma olhada neste caso de nuvem pura, onde a Cisco está fornecendo todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser diretamente correlacionados com suas informações pessoais, como endereço de e-mail, está lógica e fisicamente separado do domínio de segurança no centro de dados B. Ambos, por sua vez, estão separados do domínio onde o conteúdo criptografado é armazenado, no centro de dados C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compor uma mensagem para enviar a um espaço, as seguintes etapas ocorrem:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e, em seguida, solicita uma chave para criptografar a mensagem. A conexão segura usa o ECDH e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente envia-o para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em pesquisas futuras do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no território de armazenamento.

Ao implantar a Segurança de dados híbridos, você move as funções de domínio de segurança (KMS, indexação e conformidade) para o data center local. Os outros serviços em nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem nos domínios da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar o aplicativo Webex regularmente para colaborar com participantes externos de outras organizações. Quando um de seus usuários solicita uma chave para um espaço que pertence à sua organização (porque foi criado por um de seus usuários), o KMS envia a chave para o cliente por meio de um canal protegido por ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave ao seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados PKI x.509. Consulte Preparar seu ambiente para obter detalhes sobre como gerar um certificado x.509 para usar com a implantação de segurança de dados híbridos multilocatários.

Expectativas para implantação da segurança de dados híbridos

Uma implantação de Segurança de dados híbridos requer um compromisso significativo e uma conscientização sobre os riscos que advêm da posse de chaves de criptografia.

Para implantar a Segurança de dados híbridos, você deve fornecer:

Um data center seguro em um país que é um local compatível com os planos do Cisco Webex Teams.
O equipamento, software e acesso à rede descritos em Prepare seu ambiente.

A perda completa da ISO de configuração que você cria para a Segurança de dados híbridos ou do banco de dados que você fornece resultará na perda das chaves. A perda de chave impede que os usuários descriptogravem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas apenas novos conteúdos ficarão visíveis. Para evitar a perda de acesso aos dados, você deve:

Gerencie o backup e a recuperação do banco de dados e a configuração ISO.
Esteja preparado para executar a recuperação rápida de desastres se ocorrer uma catástrofe, como falha no disco do banco de dados ou desastre do centro de dados.

Não há nenhum mecanismo para mover as teclas de volta para a nuvem após uma implantação do HDS.

Processo de Configuração de alto nível

Este documento cobre a configuração e o gerenciamento de uma implantação de Segurança de dados híbridos de vários locatários:

Configurar a Segurança de Dados Híbridos—Isso inclui preparar a infraestrutura necessária e instalar o software de Segurança de Dados Híbridos, criar um cluster HDS, adicionar organizações de locatários ao cluster e gerenciar as Chaves Principais do Cliente (CMKs). Isso permitirá que todos os usuários das organizações de clientes usem o grupo de Segurança de dados híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbridos—A nuvem Webex fornece automaticamente atualizações contínuas. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e envolver o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas baseados em e-mail no Hub de parceiros.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas para implantar ou usar a Segurança de dados híbridos, o último capítulo deste guia e o apêndice de Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de implantação de segurança de dados híbridos

Dentro do data center corporativo, você implementa a Segurança de dados híbridos como um único grupo de nós em organizadores virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornecer. Use a Ferramenta de configuração HDS para criar um arquivo ISO de configuração de grupo personalizado que você montar em cada nó. O grupo de Segurança de dados híbridos usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Configure os detalhes de conexão do Syslogd e do banco de dados na ferramenta de configuração do HDS.)

Modelo de implantação de segurança de dados híbridos

O número mínimo de nós que você pode ter em um grupo é dois. Recomendamos pelo menos três por grupo. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chave e atividade de registro para o mesmo servidor syslog. Os nós em si são sem estado e lidam com as principais solicitações de forma redonda, conforme direcionado pela nuvem.

Os nós ficam ativos quando você os registra no Hub de parceiros. Para tirar um nó individual de serviço, você pode cancelar o registro e depois registrá-lo novamente, se necessário.

Data center em espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre do centro de dados, você pode falhar manualmente sua implantação no centro de dados em espera.

Os bancos de dados dos centros de dados ativos e em espera estão em sincronia uns com os outros, o que minimizará o tempo necessário para executar o failover.

Os nós de Segurança de dados híbridos ativos devem sempre estar no mesmo centro de dados que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy — O padrão se você não usar a configuração do nó HDS Trust Store & Proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy.
2. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy.
3. Protocolo proxy—Dependendo do que o servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos de segurança de dados híbridos de vários locatários

Requisitos de licença do Cisco Webex

Para implantar a segurança de dados híbridos de vários locatários:

Organizações parceiras: Entre em contato com seu parceiro ou gerente de contas da Cisco e certifique-se de que o recurso de vários locatários esteja ativado.
Organizações do locatário: Você deve ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos de área de trabalho do Docker

Antes de instalar os nós HDS, você precisa do Docker Desktop para executar um programa de configuração. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Os clientes sem uma licença do Docker Desktop podem usar uma ferramenta de gerenciamento de contêineres de código aberto como o Podman Desktop para executar, gerenciar e criar contêineres. Consulte Executar a ferramenta de configuração HDS usando o Podman Desktop para obter detalhes.

Requisitos de certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Quadro 1. Requisitos de certificado X.509 para implantação de segurança de dados híbridos
Requisito	Detalhes
Assinado por uma autoridade de certificação (CA) confiável	Por padrão, confiamos nas CAs na lista Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio Common Name (CN) que identifica a implantação de Segurança de dados híbridos Não é um certificado curinga	O CN não precisa ser acessível ou um host ao vivo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. O CN não deve conter um * (curinga). O CN é usado para verificar os nós de Segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de Segurança de dados híbridos no seu grupo usam o mesmo certificado. O KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não suportamos a alteração do nome de domínio CN.
Assinatura não SHA1	O software KMS não suporta assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um arquivo PKCS #12 protegido por senha Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará inserir a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe o uso da chave ou restrições de uso de chave estendidas. Algumas autoridades de certificação exigem que restrições estendidas de uso de chave sejam aplicadas a cada certificado, como a autenticação do servidor. Está tudo bem para usar a autenticação do servidor ou outras configurações.

Requisitos do organizador virtual

Os organizadores virtuais que você irá configurar como nós de Segurança de dados híbridos no seu grupo têm os seguintes requisitos:

Pelo menos dois organizadores separados (3 recomendados) colocados no mesmo centro de dados seguro
O VMware ESXi 7.0 (ou posterior) instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Existem duas opções para o servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
Categoria: PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16, instalado e em execução.	SQL Server 2016, 2017, 2019 ou 2022 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço suficiente em disco rígido e monitoramento para garantir que não seja excedido (2 TB são recomendados se você quiser executar o banco de dados por um longo tempo sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

Categoria: PostgreSQL

Servidor Microsoft SQL

Controlador JDBC 42.2.5

Controlador do SQL Server JDBC 4.6

Esta versão do driver suporta o SQL Server Always On (Ocorrências de grupo de failover Always On e Grupos de disponibilidade Always On).

Requisitos adicionais para autenticação do Windows contra o Microsoft SQL Server

Se você quiser que os nós HDS usem autenticação do Windows para obter acesso ao banco de dados do keystore no Microsoft SQL Server, você precisará da seguinte configuração em seu ambiente:

Os nós HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós HDS deve ter acesso de leitura/gravação ao banco de dados.
Os servidores DNS que você fornece aos nós HDS devem ser capazes de resolver seu Centro de distribuição de chaves (KDC).
Você pode registrar a instância do banco de dados HDS no Microsoft SQL Server como um nome principal de serviço (SPN) no Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração HDS, o iniciador HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes de sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS de saída e WSS	Servidores Webex: .wbx2.com .ciscospark.com Todos os organizadores do Common Identity Outras URLs listadas para Segurança de dados híbridos na tabela de URLs adicionais para serviços híbridos Webex de Requisitos de rede para serviços Webex
Ferramenta de configuração HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os organizadores do Common Identity hub.docker.com

Os nós de Segurança de dados híbridos funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou firewall permita as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões que entram nos nós de Segurança de dados híbridos, nenhuma porta deve estar visível da internet. No seu data center, os clientes precisam acessar os nós de Segurança de dados híbridos nas portas TCP 443 e 22 para fins administrativos.

As URLs dos organizadores de Identidade Comum (CI) são específicas da região. Estes são os organizadores atuais do CI:

Região	URLs de organizador de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:). Para contornar esse problema, consulte Configurar Squid Proxies para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, ignorar (não inspecionar) o tráfego para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para a segurança de dados híbridos

Use esta lista de verificação para garantir que você está pronto para instalar e configurar o grupo de Segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso HDS de vários locatários habilitado e obtenha as credenciais de uma conta com administrador completo de parceiros e direitos de administrador completo. Certifique-se de que sua organização do cliente Webex esteja habilitada para o Pro Pack do Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de conta da Cisco para obter ajuda com este processo. As organizações de clientes não devem ter nenhuma implantação HDS existente.
2	Escolha um nome de domínio para a implantação do HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, uma chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare organizadores virtuais idênticos que você configurará como nós de Segurança de dados híbridos no grupo. Você precisa de pelo menos dois organizadores separados (3 recomendados) colocados no mesmo data center seguro, que atendam aos requisitos em Requisitos do organizador virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados chave para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocado no centro de dados seguro com os organizadores virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar esse banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Colete os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma rápida recuperação de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deve ter 3 VMs.
6	Configure um host de syslog para coletar registros dos nós no grupo. Reúna seu endereço de rede e a porta de syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós de Segurança de dados híbridos, o servidor de banco de dados e o host syslog. No mínimo, para evitar a perda de dados irrecuperáveis, você deve fazer o backup do banco de dados e do arquivo ISO de configuração gerado para os nós de Segurança de dados híbridos. Como os nós de Segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia do conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves, de modo que uma interrupção pode não ser imediatamente percebida, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (nenhum backup disponível) do banco de dados ou arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de dados híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de dados híbridos se ocorrer uma falha catastrófica.
8	Certifique-se de que a configuração do firewall permite conectividade para os nós de Segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise de 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Você usa a ocorrência do Docker para baixar e executar a Ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós de Segurança de dados híbridos. Você pode precisar de uma licença do Docker Desktop. Consulte os Requisitos de desktop do Docker para obter mais informações. Para instalar e executar a Ferramenta de configuração HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com Segurança de dados híbridos, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Antes de você começar

1	Executar a configuração inicial e baixar arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Criar uma ISO de configuração para os organizadores HDS Use a ferramenta de configuração HDS para criar um arquivo de configuração ISO para os nós de Segurança de dados híbridos.
3	Instalar o OVA do organizador HDS Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbridos Inicie sessão no console VM e defina as credenciais de início de sessão. Defina as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.
5	Carregar e montar a ISO da configuração HDS Configure a VM do arquivo de configuração ISO que você criou com a ferramenta de configuração HDS.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registre o primeiro nó no grupo Registre a VM com o Cisco Webex Cloud como um nó de segurança de dados híbridos.
8	Criar e registrar mais nós Conclua a configuração do grupo.
9	Ative o HDS multilocatário no Hub de parceiros. Ative o HDS e gerencie organizações de locatários no Hub de parceiros.

Executar a configuração inicial e baixar arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós de Segurança de dados híbridos). Você pode usar esse arquivo mais tarde no processo de instalação.

1	Inicie sessão no Hub de parceiros e clique em Serviços.
2	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar. Clicar em Configurar no Hub de parceiros é fundamental para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e em Baixar arquivo .OVA no cartão Instalar e configurar software . As versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes de Segurança de dados híbridos. Isso pode resultar em problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento na seção de Ajuda . Clique em Configurações > Ajuda > Baixar software de segurança de dados híbridos. O arquivo OVA inicia automaticamente o download. Salve o arquivo em um local em sua máquina.
4	Opcionalmente, clique em Consulte o guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Criar uma ISO de configuração para os organizadores HDS

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador.

Se você não tiver uma licença do Docker Desktop, você pode usar o Podman Desktop para executar a ferramenta de configuração HDS nos passos 1 a 5 no procedimento abaixo. Consulte Executar a ferramenta de configuração HDS usando o Podman Desktop para obter detalhes.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

docker login -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local.

Use um navegador da Web para acessar o localhost http://127.0.0.1:8080 e insira o nome de usuário do administrador do Hub de parceiros no aviso.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.

7

Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.

8

Na página de visão geral da ferramenta de configuração, clique em Introdução.

9

Na página Importação ISO , você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, você não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO na navegação e carregue-o.

10

Verifique se o certificado X.509 atende aos requisitos em Requisitos de certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, insira a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada da ISO anterior?. Carregue um novo certificado X.509, insira a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta do HDS para acessar seu armazenamento de dados chave:

Selecione o Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, receberá um campo de tipo de autenticação.
(Apenas Microsoft SQL Server ) Selecione o Tipo de autenticação:
- Autenticação básica: Você precisa de um nome de conta do servidor SQL local no campo Nome de usuário .
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário .
Insira o endereço do servidor do banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você poderá usar um endereço IP para autenticação básica se os nós não puderem usar o DNS para resolver o nome do organizador.

Se você estiver usando a autenticação do Windows, você deve inserir um Nome de Domínio Totalmente Qualificado no formato dbhost.example.org:1433
Insira o Nome do banco de dados.
Insira o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão do banco de dados TLS:

Mode	Descrição
Prefira TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você ativar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Esse modo não é aplicável a bancos de dados do SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Depois de estabelecer uma conexão TLS, o nó compara o assinante do certificado do servidor de banco de dados com a autoridade de certificação em Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Porta e host do banco de dados . Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carregar o certificado raiz (se necessário) e clicar em Continuar, a Ferramenta de configuração HDS testa a conexão TLS com o servidor do banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós do HDS podem ser capazes de estabelecer a conexão TLS, mesmo que a máquina da ferramenta de configuração do HDS não possa testá-la com êxito.)

13

Na página Logs do sistema, configure o servidor Syslogd:

Insira a URL do servidor syslog.

Se o servidor não for solucionável por DNS dos nós para o seu grupo HDS, use um endereço IP na URL.

Exemplo:
udp://10.92.43.23:514 indica o logon no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar a criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP, como tcp://10.92.43.23:514.
No menu suspenso Escolher terminação de registro de syslog , escolha a configuração apropriada para seu arquivo ISO: Escolher se a nova linha será usada para Graylog e Rsyslog TCP
- bytes nulos -- \x00
- Nova linha -- \n—Selecione essa opção para TCP Graylog e Rsyslog.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão de alguns parâmetros de conexão do banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxSize: 10

15

Clique em Continuar na tela Redefinir senha das contas de serviço .

As senhas de contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem prestes a expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.

18

Para desligar a ferramenta de configuração, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou fazer alterações de configuração. Se você perder todas as cópias do arquivo ISO, você também perdeu a chave mestra. Não é possível recuperar as chaves do banco de dados do PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o OVA do organizador HDS

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Próximo.
4	Na página Selecionar um nome e pasta , insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Próximo.
5	Na página Selecionar um recurso de computação , escolha o recurso de computação de destino e clique em Próximo. Uma verificação de validação é executada. Depois de terminar, os detalhes do modelo são exibidos.
6	Verifique os detalhes do modelo e clique em Próximo.
7	Se você for solicitado a escolher a configuração de recurso na página de Configuração , clique em 4 CPU e, em seguida, clique em Próximo.
8	Na página Selecionar armazenamento , clique em Próximo para aceitar o formato de disco padrão e a política de armazenamento de VM.
9	Na página Selecionar redes , escolha a opção de rede na lista de entradas para fornecer a conectividade desejada para a VM.
10	Na página Personalizar modelo , defina as seguintes configurações de rede: Nome do host—Insira o FQDN (nome do host e domínio) ou um nome de host de palavra única para o nó. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou nome do organizador que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço de IP— Insira o endereço de IP para a interface interna do nó. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado. Máscara—Insira o endereço da máscara de sub-rede na notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Insira o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS—Insira uma lista separada por vírgulas de servidores DNS, que lida com a tradução de nomes de domínio para endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP—Insira o servidor NTP da sua organização ou outro servidor NTP externo que possa ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, de modo que todos os nós de um cluster possam ser acessados de clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbridos para definir as configurações do console do nó. A opção para definir configurações de rede durante a implantação do OVA foi testada com o ESXi 7.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse na VM do nó e, em seguida, escolha Ligar > Ligar. O software de Segurança de dados híbridos é instalado como um convidado no Host de VM. Agora você está pronto para iniciar sessão no console e configurar o nó. Dicas de solução de problemas Você pode experimentar um atraso de alguns minutos antes de os recipientes do nó aparecerem. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não pode iniciar sessão.

Configurar a VM de segurança de dados híbridos

Use este procedimento para iniciar sessão no console de VM do nó de segurança de dados híbridos pela primeira vez e definir as credenciais de início de sessão. Você também pode usar o console para definir as configurações de rede para o nó se você não as tiver configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione sua VM do nó de segurança de dados híbridos e clique na guia Console . A VM inicializa e um aviso de logon é exibido. Se o aviso de logon não for exibido, pressione Enter.
2	Use o seguinte logon e senha padrão para iniciar sessão e alterar as credenciais: Logon: `admin` Senha: `cisco` Como você está iniciando sessão na VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já definiu as configurações de rede em Instalar o OVA do organizador HDS, pule o resto deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração .
4	Configure uma configuração estática com informações de endereço IP, máscara, gateway e DNS. O nó deve ter um endereço IP interno e um nome DNS. O DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou os servidores NTP, se necessário para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio que você usou para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações tenham efeito.

Carregar e montar a ISO da configuração HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a ferramenta de configuração HDS.

Antes de começar

Como o arquivo ISO possui a chave mestra, ele só deve ser exposto com base em "necessidade de saber", para acesso das VMs de segurança de dados híbridos e de quaisquer administradores que precisem fazer alterações. Certifique-se de que apenas esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista de Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no armazenamento de dados das suas VMs e clique em Procurar datastore.
Clique no ícone Carregar arquivos e, em seguida, clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o aviso da operação de carregamento/download e feche a caixa de diálogo de armazenamento de dados.

2

Montar o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restrita.
Clique em CD/DVD Drive 1, selecione a opção para montar de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Marque Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você poderá, opcionalmente, desmontar o arquivo ISO depois que todos os nós capturarem as alterações de configuração. Consulte (Opcional) Desmontar ISO após configuração HDS para obter detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte de proxy para obter uma visão geral das opções de proxy compatíveis.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy—A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy sem inspeção transparente—Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir quaisquer alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: IP/FQDN do proxy — Endereço que pode ser usado para acessar a máquina proxy. Porta proxy—Um número de porta que o proxy usa para ouvir o tráfego proxy. Protocolo proxy—Escolha http (exibe e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Resumo—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, consulte Desativar modo de resolução DNS externa bloqueada.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registre o primeiro nó no grupo

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbridos, registra o nó com a nuvem Webex e o transforma em um nó de Segurança de dados híbridos.

Ao registrar seu primeiro nó, você cria um grupo ao qual o nó está atribuído. Um grupo contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços em nuvem, encontre o cartão de Segurança de dados híbridos e clique em Configurar.
4	Na página que é aberta, clique em Adicionar um recurso.
5	No primeiro campo do cartão Adicionar um nó , insira um nome para o grupo ao qual você deseja atribuir o nó de Segurança de dados híbridos. Recomendamos que você nomeie um grupo com base no local onde os nós do grupo estão localizados geograficamente. Exemplos: "São Francisco" ou "Nova Iorque" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome de host e domínio que você usou em Configurar a VM de segurança de dados híbridos. Uma mensagem será exibida indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar o nó.
8	Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex.
9	Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. Na página de Segurança de dados híbridos , o novo grupo contendo o nó que você registrou é exibido na guia de Recursos . O nó baixará automaticamente o software mais recente da nuvem.

Criar e registrar mais nós

Para adicionar nós adicionais ao seu grupo, basta criar VMs adicionais e montar o mesmo arquivo ISO de configuração e, em seguida, registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Depois de iniciar o registro de um nó, você deve concluí-lo dentro de 60 minutos ou você tem que começar de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desativados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual no OVA, repetindo as etapas em Instalar o OVA do organizador HDS.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbridos.
3	Na nova VM, repita as etapas em Carregar e montar a ISO de configuração HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção de Serviços de nuvem, encontre o cartão de Segurança de dados híbridos e clique em Exibir tudo. A página de Recursos de segurança de dados híbridos é exibida. O cluster recém-criado aparecerá na página de Recursos . Clique no cluster para visualizar os nós atribuídos ao cluster. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar. Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você é redirecionado aos testes de conectividade do nó para os serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos é exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar o nó. Marque a caixa de seleção Permitir acesso ao nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó está agora registrado na nuvem Webex. Clique no link ou feche a guia para voltar à página de Segurança de dados híbridos do Hub de parceiros. A mensagem pop-up do nó adicionado também aparece na parte inferior da tela no Hub de parceiros. Seu nó está registrado.

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar o HDS multilocatário no Hub do parceiro

Essa tarefa garante que todos os usuários das organizações de clientes possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do grupo HDS de vários locatários com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações.
4	Clique em Ativar HDS no cartão de Status HDS .

Adicionar organizações de locatários no Hub de parceiros

Nesta tarefa, você atribui organizações de clientes ao Grupo de segurança de dados híbridos.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Clique no cluster ao qual você deseja que um cliente seja atribuído.
5	Vá para a guia de Clientes atribuídos .
6	Clique em Adicionar clientes.
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar e o cliente será adicionado ao cluster.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu grupo.
10	Clique em Concluído na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS para concluir o processo de configuração.

Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração HDS

Antes de começar

Atribua clientes ao cluster apropriado, conforme detalhado em Adicionar organizações de locatários no Hub de parceiros. Execute a ferramenta de configuração do HDS para concluir o processo de configuração das organizações de clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o. Certifique-se de conectividade com o banco de dados para executar o gerenciamento de CMK.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Criar CMK para todas as ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e em Criar CMKs para criar CMKs de todas as organizações recém-adicionadas. Clique no status pendente do gerenciamento de CMK de uma organização específica na tabela e clique em Criar CMK para criar o CMK para essa organização.
12	Assim que a criação do CMK for bem-sucedida, o status na tabela mudará de gerenciamento de CMK pendente para CMK gerenciado.
13	Se a criação do CMK não for bem-sucedida, um erro será exibido.

Remover organizações de locatários

Antes de começar

Uma vez removidos, os usuários das organizações de clientes não poderão aproveitar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de contas da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre Segurança de dados híbridos e clique em Exibir tudo.
4	Na guia de Recursos , clique no cluster do qual você deseja remover organizações de clientes.
5	Na página que é aberta, clique em Clientes atribuídos.
6	Na lista de organizações de clientes exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do cluster.

O que fazer em seguida

Conclua o processo de remoção revogando os CMKs das organizações de clientes conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogue CMKs de locatários removidos do HDS.

Antes de começar

Remova os clientes do grupo apropriado, conforme detalhado em Remover organizações de locatários. Execute a ferramenta de configuração do HDS para concluir o processo de remoção das organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Hub de parceiros com direitos completos de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Use um navegador da Web para acessar o localhost `http://127.0.0.1:8080` e insira o nome de usuário do administrador do Hub de parceiros no aviso. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta exibe o prompt de início de sessão padrão.
7	Quando solicitado, insira as credenciais de início de sessão do administrador do Hub de parceiros e clique em Efetuar logon para permitir o acesso aos serviços necessários para a Segurança de dados híbridos.
8	Na página de visão geral da ferramenta de configuração, clique em Introdução.
9	Na página Importação ISO , clique em Sim.
10	Selecione seu arquivo ISO no navegador e carregue-o.
11	Vá para a guia de Gerenciamento de CMK de locatário , onde você encontrará as três maneiras a seguir de gerenciar CMKs de locatário. Revogar o CMK de todas as ORGs ou Revogar o CMK - Clique neste botão no banner na parte superior da tela para revogar os CMKs de todas as organizações que foram removidas. Clique no botão Gerenciar CMKs no lado direito da tela e em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique em próximo ao status do CMK a ser revogado de uma organização específica na tabela e em Revogar CMK para revogar o CMK dessa organização específica.
12	Assim que a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação de CMK não for bem-sucedida, um erro será exibido.

Teste a implantação de Segurança de dados híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de Segurança de dados híbridos de vários locatários.

Antes de começar

Configure a implantação de Segurança de dados híbridos de vários locatários.
Certifique-se de ter acesso ao syslog para verificar se as principais solicitações estão passando para a implantação da Segurança de dados híbridos multilocatários.

1

As teclas para um determinado espaço são definidas pelo criador do espaço. Inicie sessão no aplicativo Webex como um dos usuários da organização do cliente e, em seguida, crie um espaço.

Se você desativar a implantação de Segurança de dados híbridos, o conteúdo nos espaços criados pelos usuários não estará mais acessível depois que as cópias em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens ao novo espaço.

3

Verifique o resultado do syslog para verificar se as principais solicitações estão passando para a implantação de Segurança de dados híbridos.

Para verificar se um usuário primeiro estabelece um canal seguro para o KMS, filtre em kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para legibilidade):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Para verificar se um usuário está solicitando uma chave existente do KMS, filtre em kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de uma nova chave KMS, filtre em kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Para verificar um usuário solicitando a criação de um novo objeto de recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre em kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Hub de parceiros mostra se tudo está bem com a implantação de Segurança de dados híbridos multilocatários. Para obter alertas mais proativos, inscreva-se nas notificações por e-mail. Você será notificado quando houver atualizações de software ou alarmes que causam impacto no serviço.

1	No Hub de parceiros, selecione Serviços no menu do lado esquerdo da tela.
2	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Editar configurações. A página de Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação do HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de Segurança de dados híbridos.

Definir agenda de atualização do grupo

As atualizações de software para a Segurança de dados híbridos são feitas automaticamente no nível do grupo, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com a agenda de atualizações do grupo. Quando uma atualização de software fica disponível, você tem a opção de atualizar manualmente o cluster antes do horário de atualização agendado. Você pode definir uma agenda de atualização específica ou usar a agenda padrão das 3:00 AM Daily United States: América/Los Angeles. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir a agenda de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção de Serviços de nuvem, encontre a Segurança de dados híbridos e clique em Configurar
4	Na página de Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na guia Configurações do grupo .
6	Na página Configurações do cluster, em Agenda de atualização, selecione a hora e o fuso horário da agenda de atualização. Nota: No fuso horário, a próxima data e hora de atualização disponíveis são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas.

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Redefinição forçada—As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos de administrador total do parceiro.

Se você não tiver uma licença do Docker Desktop, você pode usar o Podman Desktop para executar a ferramenta de configuração HDS nos passos 1.a a 1.e no procedimento abaixo. Consulte Executar a ferramenta de configuração HDS usando o Podman Desktop para obter detalhes.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não suporta a conexão com o localhost através de http://localhost:8080. Use http://127.0.0.1:8080 para se conectar ao host local. Quando solicitado, insira as credenciais de início de sessão do cliente do Hub de parceiros e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para desligar a ferramenta de configuração, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó de segurança de dados híbridos e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós. Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Hub de parceiros.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `CD/DVD Drive 1`, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de Segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para evitar mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para efetuar logon no organizador virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Inicie sessão no Hub de parceiros e, em seguida, selecione Serviços.
No cartão de Segurança de dados híbridos, clique em Exibir tudo para exibir a página de Recursos de segurança de dados híbridos.
Selecione seu cluster para exibir o painel de Visão geral.
Clique no nó que você deseja remover.
Clique em Cancelar o registro deste nó no painel exibido à direita
Você também pode cancelar o registro do nó clicando no lado direito do nó e selecionando Remover este nó.

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o data center em espera

O serviço mais crítico que seu grupo de Segurança de dados híbridos fornece é a criação e armazenamento de chaves usadas para criptografar mensagens e outro conteúdo armazenado na nuvem Webex. Para cada usuário dentro da organização atribuído à Segurança de dados híbridos, novas solicitações de criação de chave são roteadas ao cluster. O cluster também é responsável por retornar as chaves criadas a qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversa.

Como o cluster executa a função crítica de fornecer essas chaves, é imperativo que o cluster permaneça em execução e que os backups adequados sejam mantidos. A perda do banco de dados de Segurança de dados híbridos ou da ISO de configuração usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no centro de dados primário se torne indisponível, siga este procedimento para fazer o failover manualmente para o centro de dados em espera.

Antes de começar

Cancele o registro de todos os nós do Hub de parceiros, conforme mencionado em Remover um nó. Use o arquivo ISO mais recente que foi configurado nos nós do grupo que estava ativo anteriormente para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de Configuração HDS e siga as etapas mencionadas em Criar uma ISO de configuração para os organizadores HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave de criptografia mestra para o conteúdo do banco de dados. Restrinja o acesso apenas aos administradores de Segurança de dados híbridos que devem fazer alterações de configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >Unidade de CD/DVD 1 e selecione Arquivo ISO de armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e verifique se não há alarmes por pelo menos 15 minutos.
7	Registre o nó no Hub de parceiros. Consulte Registrar o primeiro nó no cluster.
8	Repita o processo para cada nó no centro de dados em espera.

O que fazer em seguida

Após o failover, se o centro de dados primário se tornar ativo novamente, cancele o registro dos nós do centro de dados em espera e repita o processo de configuração ISO e registro dos nós do centro de dados primário conforme mencionado acima.

(Opcional) Desmontar ISO após configuração do HDS

A configuração HDS padrão é executada com o ISO montado. Mas, alguns clientes preferem não deixar arquivos ISO montados continuamente. Você poderá desmontar o arquivo ISO depois que todos os nós HDS atenderem à nova configuração.

Você ainda usa os arquivos ISO para fazer alterações de configuração. Quando você cria uma nova ISO ou atualiza uma ISO através da ferramenta de configuração, você deve montar a ISO atualizada em todos os nós HDS. Depois que todos os nós tiverem atendido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No dispositivo do servidor vCenter, selecione o nó HDS.
3	Escolha Editar configurações > Unidade de CD/DVD e desmarque Arquivo ISO do datastore.
4	Ligue o nó HDS e verifique se não há alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS de cada vez.

Solucionar problemas de segurança de dados híbridos

Visualizar alertas e solução de problemas

Uma implantação de Segurança de dados híbridos será considerada indisponível se todos os nós no grupo estiverem inacessíveis ou se o grupo estiver funcionando tão lentamente que solicite tempo limite. Se os usuários não puderem acessar o grupo de Segurança de dados híbridos, eles experimentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha ao descriptografar mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não foi possível buscar as teclas)
- Usuários existentes em um espaço usando um novo cliente (não foi possível buscar chaves)
Os usuários existentes em um espaço continuarão a ser executados com êxito, desde que seus clientes tenham um cache das chaves de criptografia

É importante que você monitore adequadamente seu grupo de Segurança de dados híbridos e atenda imediatamente a quaisquer alertas para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração de Segurança de dados híbridos, o Partner Hub exibe alertas ao administrador da organização e envia e-mails para o endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Quadro 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas de rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor do banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço em nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços em nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem caiu.	O registro nos serviços em nuvem foi encerrado. O serviço está desligando.
Serviço ainda não ativado.	Ative o HDS no Partner Hub.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponde ao domínio de ativação de serviço configurado. A causa mais provável é que o certificado CN foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha ao autenticar nos serviços em nuvem.	Verifique a precisão e a possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo do armazenamento de chaves local.	Verifique a integridade e precisão da senha no arquivo de armazenamento de chaves local.
O certificado do servidor local é inválido.	Verifique a data de expiração do certificado do servidor e confirme se ele foi emitido por uma autoridade de certificação confiável.
Não foi possível publicar métricas.	Verifique o acesso à rede local a serviços de nuvem externos.
o diretório /media/configdrive/hds não existe.	Verifique a configuração de montagem ISO no organizador virtual. Verifique se o arquivo ISO existe, se ele está configurado para montar na reinicialização e se foi montado com êxito.
A configuração da organização do locatário não foi concluída nas organizações adicionadas	Conclua a configuração criando CMKs em organizações de locatários recém-adicionadas usando a ferramenta de configuração HDS.
A configuração da organização do locatário não foi concluída nas organizações removidas	Conclua a configuração revogando CMKs de organizações de locatários que foram removidas usando a Ferramenta de configuração HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com a Segurança de dados híbridos.

1	Revise o Hub de parceiros em busca de quaisquer alertas e corrija todos os itens que você encontrar lá. Consulte a imagem abaixo para referência.
2	Revise a saída do servidor syslog para a atividade da implantação de Segurança de dados híbridos. Filtre palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos de segurança de dados híbridos

Se você encerrar o grupo de Segurança de dados híbridos (excluindo-o no Hub de parceiros ou desligando todos os nós), perder seu arquivo ISO de configuração ou perder o acesso ao banco de dados de armazenamento de chaves, os usuários do aplicativo Webex das organizações de clientes não poderão mais usar espaços sob a lista de Pessoas que foram criados com chaves do seu KMS. No momento, não temos uma solução ou solução para esse problema e recomendamos que você não encerre seus serviços HDS depois que eles estiverem lidando com contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente a um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Executar a ferramenta de Configuração HDS usando o Ambiente de Trabalho Podman

O Podman é uma ferramenta de gerenciamento de contêineres gratuita e de código aberto que fornece uma maneira de executar, gerenciar e criar contêineres. O Podman Desktop pode ser baixado a partir de https://podman-desktop.io/downloads.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, baixe e execute o Podman nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.

Se a ferramenta de configuração do HDS for executada atrás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio das variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração que você gera contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificado
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure a implantação do PostgreSQL ou do SQL Server para TLS.

O processo de configuração de Segurança de dados híbridos cria um arquivo ISO. Em seguida, você usa a ISO para configurar o host de Segurança de dados híbridos.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

O que fazer em seguida

Siga as etapas restantes em Criar uma ISO de configuração para os hosts HDS ou Alterar a configuração do nó para criar ou alterar a configuração ISO.

Usar o OpenSSL para gerar um arquivo PKCS12

Antes de começar

O OpenSSL é uma ferramenta que pode ser usada para fazer o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração HDS. Existem outras formas de fazer isso, e não apoiamos nem promovemos uma maneira sobre outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos de certificado X.509 em Requisitos de certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente suportado. Consulte https://www.openssl.org para obter o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua autoridade de certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, todos os certificados CA intermediários e os certificados CA raiz, no formato abaixo: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Crie o arquivo .p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 -in hdsnode.p12` Insira uma senha no prompt para criptografar a chave privada de modo que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

O que fazer em seguida

Retorne para Concluir os pré-requisitos para a segurança de dados híbridos. Você usará o hdsnode.p12 arquivo e a senha que você definiu para ele em Criar uma ISO de configuração para os organizadores HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de Segurança de dados híbridos enviam certas métricas para a nuvem Webex. Isso inclui métricas do sistema para heap max, heap usado, carga da CPU e contagem de threads; métricas em threads síncronos e assíncronos; métricas em alertas que envolvem um limite de conexões de criptografia, latência ou duração da fila de solicitações; métricas no armazenamento de dados e métricas de conexão de criptografia. Os nós enviam material de chave criptografada por um canal fora da banda (separado do pedido).

Tráfego de entrada

Os nós de Segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações para o software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento de conexões websocket (wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar o wss: tráfego para o funcionamento adequado dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva para squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Testamos com êxito a Segurança de dados híbridos com as seguintes regras adicionadas a squid.conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Informações novas e alteradas

Esta tabela abrange novos recursos ou funcionalidades, alterações no conteúdo existente e quaisquer erros importantes que foram corrigidos no Guia de implantação para segurança de dados híbridos multilocatários.

Data	Alterações feitas
08 de maio de 2025	Adicionado Mover a implantação de HDS de locatário único existente de uma organização parceira no Control Hub para uma configuração de HDS de vários locatários na seção Partner Hub. Atualizou a saída do syslog para melhorar a legibilidade na seção Teste sua implantação de segurança de dados híbridos. Atualizados Requisitos do host virtual, Fluxo de tarefas de implantação de segurança de dados híbridose Instalar o OVA do host HDS para adicionar suporte ao ESXi 8.0.
04 de março de 2025	Adicionada a seção Executar ferramenta de configuração do HDS usando o Podman Desktop. Adicionou uma nota em Requisitos do Docker Desktop fornecendo aos clientes uma opção alternativa de código aberto. Atualizado Criar uma ISO de configuração para os hosts HDS e Alterar a configuração do nó com instruções para usar o Podman Desktop para clientes sem uma licença do Docker Desktop.
30 de janeiro de 2025	Adicionada a versão 2022 do servidor SQL à lista de servidores SQL suportados em Requisitos do servidor de banco de dados.
15 de janeiro de 2025	Adicionadas Limitações da Segurança de Dados Híbridos Multi-Tenant.
08 de janeiro de 2025	Foi adicionada uma nota em Executar configuração inicial e baixar arquivos de instalação informando que clicar em Configurar no cartão HDS no Partner Hub é uma etapa importante do processo de instalação.
07 de janeiro de 2025	Atualizados Requisitos do host virtual, Fluxo de tarefas de implantação de segurança de dados híbridose Instalar o OVA do host HDS para mostrar o novo requisito do ESXi 7.0.
13 de dezembro de 2024	Primeira publicação.

Desativar a segurança de dados híbrida multilocatário

Fluxo de tarefas de desativação de HDS multilocatário

Siga estas etapas para desativar completamente o Multi-Tenant HDS.

Antes de começar

Esta tarefa só deve ser executada por um administrador pleno do Parceiro.

1	Remova todos os clientes de todos os seus clusters, conforme mencionado em Remover organizações de locatários.
2	Revogar os CMKs de todos os clientes, conforme mencionado em Revogar CMKs de inquilinos removidos do HDS..
3	Remova todos os nós de todos os seus clusters, conforme mencionado em Remover um nó.
4	Exclua todos os seus clusters do Partner Hub usando um dos dois métodos a seguir. Clique no cluster que deseja excluir e selecione Excluir este cluster no canto superior direito da página de visão geral. Na página Recursos, clique em … no lado direito de um cluster e selecione Remover Cluster.
5	Clique na aba Configurações na página de visão geral da Segurança de Dados Híbridos e clique em Desativar HDS no cartão Status do HDS.

Comece com a segurança de dados híbrida multilocatário

Visão geral da segurança de dados híbridos multilocatários

Desde o primeiro dia, a segurança de dados tem sido o foco principal no design do aplicativo Webex. A base dessa segurança é a criptografia de conteúdo de ponta a ponta, habilitada pelos clientes do aplicativo Webex que interagem com o Serviço de Gerenciamento de Chaves (KMS). O KMS é responsável por criar e gerenciar as chaves criptográficas que os clientes usam para criptografar e descriptografar dinamicamente mensagens e arquivos.

Por padrão, todos os clientes do aplicativo Webex recebem criptografia de ponta a ponta com chaves dinâmicas armazenadas no KMS em nuvem, no domínio de segurança da Cisco. A Segurança de dados híbridos move o KMS e outras funções relacionadas à segurança para o centro de dados da empresa, então ninguém, mas você detém as chaves para o seu conteúdo criptografado.

A Segurança de Dados Híbrida Multilocatário permite que as organizações aproveitem o HDS por meio de um parceiro local confiável, que pode atuar como um provedor de serviços e gerenciar a criptografia local e outros serviços de segurança. Essa configuração permite que a organização parceira tenha controle total sobre a implantação e o gerenciamento de chaves de criptografia e garante que os dados do usuário das organizações clientes estejam protegidos contra acesso externo. Organizações parceiras configuram instâncias do HDS e criam clusters do HDS conforme necessário. Cada instância pode dar suporte a diversas organizações de clientes, diferentemente de uma implantação regular do HDS, que é limitada a uma única organização.

Embora as organizações parceiras tenham controle sobre a implantação e o gerenciamento, elas não têm acesso aos dados e ao conteúdo gerados pelos clientes. Esse acesso é limitado às organizações clientes e seus usuários.

Isso também permite que organizações menores aproveitem o HDS, já que o serviço de gerenciamento de chaves e a infraestrutura de segurança, como data centers, são de propriedade do parceiro local confiável.

Como a segurança de dados híbrida multilocatária fornece soberania e controle de dados

O conteúdo gerado pelo usuário é protegido contra acesso externo, como provedores de serviços de nuvem.
Parceiros locais confiáveis gerenciam as chaves de criptografia de clientes com os quais já possuem um relacionamento estabelecido.
Opção de suporte técnico local, se fornecido pelo parceiro.
Suporta conteúdo de reuniões, mensagens e chamadas.

Este documento tem como objetivo auxiliar organizações parceiras a configurar e gerenciar clientes em um sistema de segurança de dados híbrido multilocatário.

Limitações da segurança de dados híbridos multilocatários

As organizações parceiras não devem ter nenhuma implantação de HDS ativa no Control Hub.
As organizações de locatários ou clientes que desejam ser gerenciadas por um parceiro não devem ter nenhuma implantação de HDS existente no Control Hub.
Depois que o Multi-Tenant HDS é implantado pelo parceiro, todos os usuários das organizações clientes, bem como os usuários da organização parceira, começam a aproveitar o Multi-Tenant HDS para seus serviços de criptografia.

A organização parceira e as organizações clientes que elas gerenciam estarão na mesma implantação do Multi-Tenant HDS.

A organização parceira não usará mais o KMS na nuvem após a implantação do Multi-Tenant HDS.
Não há mecanismo para mover chaves de volta para o Cloud KMS após uma implantação do HDS.
Atualmente, cada implantação do Multi-Tenant HDS pode ter apenas um cluster, com vários nós abaixo dele.
As funções de administrador têm certas limitações; consulte a seção abaixo para obter detalhes.

Funções na segurança de dados híbridos multilocatários

Administrador completo do parceiro - Pode gerenciar as configurações de todos os clientes que o parceiro gerencia. Também podem atribuir funções de administrador a usuários existentes na organização e atribuir clientes específicos a serem gerenciados por administradores de parceiros.
Administrador de parceiros - Pode gerenciar configurações para clientes que o administrador provisionou ou que foram atribuídos ao usuário.
Administrador completo - Administrador da organização parceira que está autorizado a executar tarefas como modificar configurações da organização, gerenciar licenças e atribuir funções.

Configuração e gerenciamento de HDS multilocatário de ponta a ponta de todas as organizações do cliente - Direitos de administrador completo do parceiro e administrador total são necessários.
Gerenciamento de organizações de inquilinos atribuídas - Direitos de administrador parceiro e administrador total são necessários.

Arquitetura do Reino de Segurança

A arquitetura de nuvem do Webex separa diferentes tipos de serviço em domínios separados, ou domínios de confiança, conforme ilustrado abaixo.

***Reinos de Separação (sem Segurança de Dados Híbrida)***

Para entender melhor a Segurança de Dados Híbridos, vamos primeiro analisar este caso de nuvem pura, em que a Cisco fornece todas as funções em seus domínios de nuvem. O serviço de identidade, o único lugar onde os usuários podem ser correlacionados diretamente com suas informações pessoais, como endereço de e-mail, é logicamente e fisicamente separado do domínio de segurança no data center B. Ambos, por sua vez, são separados do domínio onde o conteúdo criptografado é armazenado, no data center C.

Neste diagrama, o cliente é o aplicativo Webex em execução no laptop de um usuário e foi autenticado com o serviço de identidade. Quando o usuário compõe uma mensagem para enviar a um espaço, ocorrem os seguintes passos:

O cliente estabelece uma conexão segura com o serviço de gerenciamento de chaves (KMS) e então solicita uma chave para criptografar a mensagem. A conexão segura usa ECDH, e o KMS criptografa a chave usando uma chave mestra AES-256.
A mensagem é criptografada antes de sair do cliente. O cliente o envia para o serviço de indexação, que cria índices de pesquisa criptografados para auxiliar em futuras pesquisas do conteúdo.
A mensagem criptografada é enviada ao serviço de conformidade para verificações de conformidade.
A mensagem criptografada é armazenada no domínio de armazenamento.

Ao implantar o Hybrid Data Security, você move as funções de segurança (KMS, indexação e conformidade) para seu data center local. Os outros serviços de nuvem que compõem o Webex (incluindo armazenamento de identidade e conteúdo) permanecem sob domínio da Cisco.

Colaborando com outras organizações

Os usuários da sua organização podem usar regularmente o aplicativo Webex para colaborar com participantes externos em outras organizações. Quando um dos seus usuários solicita uma chave para um espaço que é de propriedade da sua organização (porque foi criado por um dos seus usuários), o KMS envia a chave ao cliente por um canal seguro ECDH. No entanto, quando outra organização possui a chave do espaço, seu KMS encaminha a solicitação para a nuvem Webex por meio de um canal ECDH separado para obter a chave do KMS apropriado e, em seguida, retorna a chave para seu usuário no canal original.

O serviço KMS em execução na Organização A valida as conexões com KMSs em outras organizações usando certificados x.509 PKI. Consulte Preparar seu ambiente para obter detalhes sobre como gerar um certificado x.509 para usar com sua implantação de segurança de dados híbrida multilocatário.

Expectativas para a implantação de segurança de dados híbrida

Uma implantação de segurança de dados híbrida exige comprometimento significativo e conscientização dos riscos que envolvem a posse de chaves de criptografia.

Para implantar o Hybrid Data Security, você deve fornecer:

Um data center seguro em um país que seja um local com suporte para os planos do Cisco Webex Teams.
O equipamento, software e acesso à rede descritos em Prepare seu ambiente.

A perda completa da configuração ISO que você criou para o Hybrid Data Security ou do banco de dados que você forneceu resultará na perda das chaves. A perda de chaves impede que os usuários descriptografem o conteúdo do espaço e outros dados criptografados no aplicativo Webex. Se isso acontecer, você poderá criar uma nova implantação, mas somente o novo conteúdo ficará visível. Para evitar a perda de acesso aos dados, você deve:

Gerenciar o backup e a recuperação do banco de dados e da configuração ISO.
Esteja preparado para executar uma recuperação rápida de desastres caso ocorra uma catástrofe, como falha de disco de banco de dados ou desastre no data center.

Não há mecanismo para mover chaves de volta para a nuvem após uma implantação do HDS.

Processo de configuração de alto nível

Este documento aborda a configuração e o gerenciamento de uma implantação de segurança de dados híbrida multilocatário:

Configurar a segurança de dados híbrida—Isso inclui preparar a infraestrutura necessária e instalar o software de segurança de dados híbrida, criar um cluster HDS, adicionar organizações locatárias ao cluster e gerenciar suas chaves principais do cliente (CMKs). Isso permitirá que todos os usuários das organizações dos seus clientes usem seu cluster de Segurança de Dados Híbridos para funções de segurança.

As fases de configuração, ativação e gerenciamento são abordadas em detalhes nos próximos três capítulos.
Mantenha sua implantação de segurança de dados híbrida—A nuvem Webex fornece atualizações contínuas automaticamente. Seu departamento de TI pode fornecer suporte de nível um para essa implantação e contratar o suporte da Cisco conforme necessário. Você pode usar notificações na tela e configurar alertas por e-mail no Partner Hub.
Entenda alertas comuns, etapas de solução de problemas e problemas conhecidos—Se você tiver problemas ao implantar ou usar o Hybrid Data Security, o último capítulo deste guia e o apêndice Problemas conhecidos podem ajudá-lo a determinar e corrigir o problema.

Modelo de Implantação de Segurança de Dados Híbridos

No seu data center corporativo, você implanta o Hybrid Data Security como um único cluster de nós em hosts virtuais separados. Os nós se comunicam com a nuvem Webex por meio de websockets seguros e HTTP seguro.

Durante o processo de instalação, fornecemos o arquivo OVA para configurar o dispositivo virtual nas VMs que você fornece. Use a HDS Setup Tool para criar um arquivo ISO de configuração de cluster personalizado que você monta em cada nó. O cluster Hybrid Data Security usa o servidor Syslogd fornecido e o banco de dados PostgreSQL ou Microsoft SQL Server. (Você configura os detalhes de conexão do Syslogd e do banco de dados na Ferramenta de Configuração do HDS.)

Modelo de Implantação de Segurança de Dados Híbridos

O número mínimo de nós que você pode ter em um cluster é dois. Recomendamos pelo menos três por cluster. Ter vários nós garante que o serviço não seja interrompido durante uma atualização de software ou outra atividade de manutenção em um nó. (A nuvem Webex atualiza apenas um nó por vez.)

Todos os nós em um cluster acessam o mesmo armazenamento de dados de chaves e registram atividades no mesmo servidor syslog. Os nós em si não têm estado e lidam com solicitações de chaves em rodízio, conforme determinado pela nuvem.

Os nós se tornam ativos quando você os registra no Partner Hub. Para tirar um nó individual de serviço, você pode cancelar o registro dele e registrá-lo novamente mais tarde, se necessário.

Data Center de espera para recuperação de desastres

Durante a implantação, você configura um data center de espera seguro. No caso de um desastre no data center, você pode fazer o failover manual da sua implantação para o data center em espera.

Antes do failover, o Data Center A tem nós HDS ativos e o banco de dados principal PostgreSQL ou Microsoft SQL Server, enquanto B tem uma cópia do arquivo ISO com configurações adicionais, VMs registradas na organização e um banco de dados em espera. Após o failover, o Data Center B tem nós HDS ativos e o banco de dados primário, enquanto A tem VMs não registradas e uma cópia do arquivo ISO, e o banco de dados está em modo de espera. — ***Failover manual para o data center em espera***

Os bancos de dados dos data centers ativos e em espera estão sincronizados entre si, o que minimiza o tempo necessário para executar o failover.

Os nós ativos do Hybrid Data Security devem estar sempre no mesmo data center que o servidor de banco de dados ativo.

Suporte a proxy

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

Sem proxy— O padrão se você não usar o Trust Store de configuração do nó HDS & Configuração de proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.
Proxy transparente não inspecionável—Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir nenhuma alteração para funcionar com um proxy não inspecionável. Não é necessária nenhuma atualização de certificado.
Túnel transparente ou inspeção de proxy—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
Proxy explícito—Com o proxy explícito, você informa aos nós do HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:
1. Procuração IP/FQDN—Endereço que pode ser usado para acessar a máquina proxy.
2. Porta do proxy— Um número de porta que o proxy usa para escutar o tráfego proxy.
3. Protocolo Proxy—Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:
  - HTTP — exibe e controla todas as solicitações que o cliente envia.
  - HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.
4. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação:
  - Nenhum—Nenhuma autenticação adicional é necessária.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
  - Básico—Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.
    
    Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.
  - Digest—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.
    
    Disponível somente se você selecionar HTTPS como o protocolo de proxy.
    
    Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

Preparar seu ambiente

Requisitos para segurança de dados híbridos multilocatários

Requisitos de licença do Cisco Webex

Para implantar o Multi-Tenant Hybrid Data Security:

Organizações parceiras: Entre em contato com seu parceiro ou gerente de contas da Cisco e certifique-se de que o recurso Multi-Tenant esteja habilitado.
Organizações de inquilinos: Você precisa ter o Pro Pack para o Cisco Webex Control Hub. Consulte https://www.cisco.com/go/pro-pack.)

Requisitos do Docker Desktop

Antes de instalar seus nós HDS, você precisa do Docker Desktop para executar um programa de instalação. O Docker atualizou recentemente seu modelo de licenciamento. Sua organização pode exigir uma assinatura paga para o Docker Desktop. Para obter detalhes, consulte a publicação do blog do Docker, " O Docker está atualizando e ampliando as assinaturas dos nossos produtos".

Clientes sem uma licença do Docker Desktop podem usar uma ferramenta de gerenciamento de contêineres de código aberto, como o Podman Desktop, para executar, gerenciar e criar contêineres. Consulte Executar a ferramenta de configuração do HDS usando o Podman Desktop para obter detalhes.

Requisitos do Certificado X.509

A cadeia de certificados deve atender aos seguintes requisitos:

Tabela 1. Requisitos do Certificado X.509 para Implantação de Segurança de Dados Híbridos
Requisito	Detalhes
Assinado por uma Autoridade Certificadora (AC) confiável	Por padrão, confiamos nas CAs na lista do Mozilla (com exceção de WoSign e StartCom) em https://wiki.mozilla.org/CA:IncludedCAs.
Possui um nome de domínio de Nome Comum (CN) que identifica sua implantação de Segurança de Dados Híbridos Não é um certificado curinga	O CN não precisa ser acessível nem um host ativo. Recomendamos que você use um nome que reflita sua organização, por exemplo, `hds.company.com`. A CN não deve conter uma * (curinga). O CN é usado para verificar os nós de segurança de dados híbridos para clientes do aplicativo Webex. Todos os nós de segurança de dados híbridos no seu cluster usam o mesmo certificado. Seu KMS se identifica usando o domínio CN, não qualquer domínio definido nos campos SAN x.509v3. Depois de registrar um nó com este certificado, não oferecemos suporte à alteração do nome de domínio CN.
Assinatura não-SHA1	O software KMS não oferece suporte a assinaturas SHA1 para validar conexões com KMSs de outras organizações.
Formatado como um PKCS protegido por senha #12 arquivo Use o nome amigável de `kms-private-key` para marcar o certificado, a chave privada e quaisquer certificados intermediários a serem carregados.	Você pode usar um conversor como o OpenSSL para alterar o formato do seu certificado. Você precisará digitar a senha ao executar a ferramenta de configuração do HDS.

O software KMS não impõe restrições de uso de chaves nem de uso estendido de chaves. Algumas autoridades de certificação exigem que restrições de uso de chave estendida sejam aplicadas a cada certificado, como autenticação de servidor. Não há problema em usar a autenticação do servidor ou outras configurações.

Requisitos de host virtual

Os hosts virtuais que você configurará como nós do Hybrid Data Security no seu cluster têm os seguintes requisitos:

Pelo menos dois hosts separados (3 recomendados) colocados no mesmo data center seguro
VMware ESXi 7.0 ou 8.0 instalado e em execução.

Você deve atualizar se tiver uma versão anterior do ESXi.
Mínimo de 4 vCPUs, 8 GB de memória principal, 30 GB de espaço em disco rígido local por servidor

Requisitos do servidor de banco de dados

Crie um novo banco de dados para armazenamento de chaves. Não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.

Há duas opções para servidor de banco de dados. Os requisitos para cada um são os seguintes:

Tabela 2. Requisitos do servidor de banco de dados por tipo de banco de dados
PostgreSQL	Servidor Microsoft SQL
PostgreSQL 14, 15 ou 16 instalado e em execução.	SQL Server 2016, 2017, 2019 ou 2022 (Enterprise ou Standard) instalado. O SQL Server 2016 requer o Service Pack 2 e a Atualização Cumulativa 2 ou posterior.
Mínimo de 8 vCPUs, 16 GB de memória principal, espaço em disco rígido suficiente e monitoramento para garantir que não seja excedido (2 TB recomendados se você quiser executar o banco de dados por um longo período sem precisar aumentar o armazenamento)	Mínimo de 8 vCPUs, 16 GB de memória principal, espaço em disco rígido suficiente e monitoramento para garantir que não seja excedido (2 TB recomendados se você quiser executar o banco de dados por um longo período sem precisar aumentar o armazenamento)

O software HDS atualmente instala as seguintes versões de driver para comunicação com o servidor de banco de dados:

PostgreSQL

Servidor Microsoft SQL

Driver JDBC Postgres 42.2.5

Driver JDBC do SQL Server 4.6

Esta versão do driver oferece suporte ao SQL Server Always On ( Always On Failover Cluster Instances e Always On Availability groups).

Requisitos adicionais para autenticação do Windows no Microsoft SQL Server

Se você quiser que os nós do HDS usem a autenticação do Windows para obter acesso ao seu banco de dados de keystore no Microsoft SQL Server, precisará da seguinte configuração em seu ambiente:

Os nós do HDS, a infraestrutura do Active Directory e o MS SQL Server devem ser sincronizados com o NTP.
A conta do Windows que você fornece aos nós do HDS deve ter read/write acesso ao banco de dados.
Os servidores DNS que você fornece aos nós do HDS devem ser capazes de resolver seu Centro de Distribuição de Chaves (KDC).
Você pode registrar a instância do banco de dados HDS no seu Microsoft SQL Server como um Nome Principal de Serviço (SPN) no seu Active Directory. Consulte Registrar um nome principal de serviço para conexões Kerberos.

A ferramenta de configuração do HDS, o inicializador do HDS e o KMS local precisam usar a autenticação do Windows para acessar o banco de dados do keystore. Eles usam os detalhes da sua configuração ISO para construir o SPN ao solicitar acesso com autenticação Kerberos.

Requisitos de conectividade externa

Configure seu firewall para permitir a seguinte conectividade para os aplicativos HDS:

Aplicativo	Protocolo	Porta	Direção do aplicativo	Destino
Nós de segurança de dados híbridos	TCP	443	HTTPS e WSS de saída	Servidores Webex: .wbx2.com .ciscospark.com Todos os hosts de identidade comum Outras URLs listadas para Segurança de Dados Híbridos na tabela URLs Adicionais para Serviços Híbridos Webex de Requisitos de Rede para Serviços Webex
Ferramenta de configuração do HDS	TCP	443	HTTPS de saída	*.wbx2.com Todos os hosts de identidade comum hub.docker.com

Os nós do Hybrid Data Security funcionam com tradução de acesso à rede (NAT) ou atrás de um firewall, desde que o NAT ou o firewall permitam as conexões de saída necessárias para os destinos de domínio na tabela anterior. Para conexões de entrada nos nós do Hybrid Data Security, nenhuma porta deve estar visível na Internet. No seu data center, os clientes precisam acessar os nós do Hybrid Data Security nas portas TCP 443 e 22, para fins administrativos.

Os URLs para os hosts de Identidade Comum (CI) são específicos da região. Estes são os hosts de CI atuais:

Região	URLs de host de identidade comum
Américas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
União Europeia	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canadá	https://idbroker-ca.webex.com https://identity-ca.webex.com
Cingapura	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emirados Árabes Unidos	https://idbroker-ae.webex.com https://identity-ae.webex.com

Requisitos do servidor proxy

Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.
- Proxy transparente — Cisco Web Security Appliance (WSA).
- Proxy explícito — squid.
  
  Os proxies Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento do websocket (wss:) conexões. Para contornar esse problema, consulte Configurar proxies Squid para segurança de dados híbridos.
Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:
- Sem autenticação com HTTP ou HTTPS
- Autenticação básica com HTTP ou HTTPS
- Autenticação Digest com apenas HTTPS
Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.
A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.
Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, ignorar (não inspecionar) o tráfego para wbx2.com e ciscospark.com resolverá o problema.

Conclua os pré-requisitos para segurança de dados híbridos

Use esta lista de verificação para garantir que você esteja pronto para instalar e configurar seu cluster de segurança de dados híbridos.

1	Certifique-se de que sua organização parceira tenha o recurso Multi-Tenant HDS habilitado e obtenha as credenciais de uma conta com direitos totais de administrador e administrador do parceiro. Certifique-se de que sua organização de clientes Webex esteja habilitada para o Pro Pack para Cisco Webex Control Hub. Entre em contato com seu parceiro ou gerente de contas da Cisco para obter ajuda com esse processo. As organizações clientes não devem ter nenhuma implantação de HDS existente.
2	Escolha um nome de domínio para sua implantação do HDS (por exemplo, `hds.company.com`) e obtenha uma cadeia de certificados contendo um certificado X.509, uma chave privada e quaisquer certificados intermediários. A cadeia de certificados deve atender aos requisitos em Requisitos de certificado X.509.
3	Prepare hosts virtuais idênticos que você configurará como nós de segurança de dados híbridos no seu cluster. Você precisa de pelo menos dois hosts separados (3 recomendados) colocalizados no mesmo data center seguro, que atendam aos requisitos em Requisitos de host virtual.
4	Prepare o servidor de banco de dados que atuará como o armazenamento de dados principal para o cluster, de acordo com os Requisitos do servidor de banco de dados. O servidor de banco de dados deve ser colocalizado no data center seguro com os hosts virtuais. Crie um banco de dados para armazenamento de chaves. (Você deve criar este banco de dados — não use o banco de dados padrão. Os aplicativos HDS, quando instalados, criam o esquema do banco de dados.) Reúna os detalhes que os nós usarão para se comunicar com o servidor de banco de dados: o nome do host ou endereço IP (host) e a porta o nome do banco de dados (dbname) para armazenamento de chaves o nome de usuário e a senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves
5	Para uma recuperação rápida de desastres, configure um ambiente de backup em um data center diferente. O ambiente de backup espelha o ambiente de produção de VMs e um servidor de banco de dados de backup. Por exemplo, se a produção tiver 3 VMs executando nós HDS, o ambiente de backup deverá ter 3 VMs.
6	Configure um host syslog para coletar logs dos nós no cluster. Reúna o endereço de rede e a porta syslog (o padrão é UDP 514).
7	Crie uma política de backup segura para os nós do Hybrid Data Security, o servidor de banco de dados e o host syslog. No mínimo, para evitar perda irrecuperável de dados, você deve fazer backup do banco de dados e do arquivo ISO de configuração gerado para os nós do Hybrid Data Security. Como os nós de segurança de dados híbridos armazenam as chaves usadas na criptografia e descriptografia de conteúdo, a falha em manter uma implantação operacional resultará na PERDA IRRECUPERÁVEL desse conteúdo. Os clientes do aplicativo Webex armazenam suas chaves em cache, portanto, uma interrupção pode não ser imediatamente perceptível, mas se tornará evidente com o tempo. Embora seja impossível evitar interrupções temporárias, elas são recuperáveis. No entanto, a perda completa (sem backups disponíveis) do banco de dados ou do arquivo ISO de configuração resultará em dados irrecuperáveis do cliente. Espera-se que os operadores dos nós de Segurança de Dados Híbridos mantenham backups frequentes do banco de dados e do arquivo ISO de configuração e estejam preparados para reconstruir o data center de Segurança de Dados Híbridos caso ocorra uma falha catastrófica.
8	Certifique-se de que a configuração do seu firewall permite conectividade para seus nós de segurança de dados híbridos, conforme descrito em Requisitos de conectividade externa.
9	Instale o Docker ( https://www.docker.com) em qualquer máquina local executando um sistema operacional compatível (Microsoft Windows 10 Professional ou Enterprise 64 bits ou Mac OSX Yosemite 10.10.3 ou superior) com um navegador da web que possa acessá-lo em http://127.0.0.1:8080. Use a instância do Docker para baixar e executar a ferramenta de configuração do HDS, que cria as informações de configuração local para todos os nós do Hybrid Data Security. Talvez você precise de uma licença do Docker Desktop. Consulte Requisitos do Docker Desktop para obter mais informações. Para instalar e executar a ferramenta de configuração do HDS, a máquina local deve ter a conectividade descrita em Requisitos de conectividade externa.
10	Se você estiver integrando um proxy com o Hybrid Data Security, certifique-se de que ele atenda aos Requisitos do servidor proxy.

Configurar um cluster de segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbrida

Antes de você começar

1	Execute a configuração inicial e baixe os arquivos de instalação Baixe o arquivo OVA para sua máquina local para uso posterior.
2	Crie uma ISO de configuração para os hosts HDS Use a ferramenta de configuração do HDS para criar um arquivo de configuração ISO para os nós do Hybrid Data Security.
3	Instalar o HDS Host OVA Crie uma máquina virtual a partir do arquivo OVA e execute a configuração inicial, como configurações de rede. A opção de configurar as definições de rede durante a implantação do OVA foi testada com o ESXi 7.0 e 8.0. A opção pode não estar disponível em versões anteriores.
4	Configurar a VM de segurança de dados híbrida Entre no console da VM e defina as credenciais de login. Configure as configurações de rede para o nó caso você não as tenha configurado no momento da implantação do OVA.
5	Carregar e montar o ISO de configuração do HDS Configure a VM a partir do arquivo de configuração ISO que você criou com a HDS Setup Tool.
6	Configurar o nó HDS para integração de proxy Se o ambiente de rede exigir configuração de proxy, especifique o tipo de proxy que você usará para o nó e adicione o certificado de proxy ao armazenamento confiável, se necessário.
7	Registre o primeiro nó no cluster Registre a VM na nuvem Cisco Webex como um nó de segurança de dados híbridos.
8	Crie e registre mais nós Conclua a configuração do cluster.
9	Ative o Multi-Tenant HDS no Partner Hub. Ative o HDS e gerencie organizações de locatários no Partner Hub.

Execute a configuração inicial e baixe os arquivos de instalação

Nesta tarefa, você baixa um arquivo OVA para sua máquina (não para os servidores que você configurou como nós do Hybrid Data Security). Você usará esse arquivo mais tarde no processo de instalação.

1	Entre no Partner Hub e clique em Serviços.
2	Na seção Serviços de Nuvem, localize o cartão Segurança de Dados Híbrida e clique em Configurar. Clicar em Configurar no Partner Hub é essencial para o processo de implantação. Não prossiga com a instalação sem concluir esta etapa.
3	Clique em Adicionar um recurso e clique em Baixar arquivo .OVA no cartão Instalar e configurar software. Versões mais antigas do pacote de software (OVA) não serão compatíveis com as atualizações mais recentes do Hybrid Data Security. Isso pode causar problemas ao atualizar o aplicativo. Certifique-se de baixar a versão mais recente do arquivo OVA. Você também pode baixar o OVA a qualquer momento na seção Ajuda. Clique em Configurações > Ajuda > Baixe o software Hybrid Data Security. O arquivo OVA começa a ser baixado automaticamente. Salve o arquivo em um local na sua máquina.
4	Opcionalmente, clique em Consulte o guia de implantação de segurança de dados híbridos para verificar se há uma versão posterior deste guia disponível.

Crie uma ISO de configuração para os hosts HDS

O processo de configuração do Hybrid Data Security cria um arquivo ISO. Em seguida, use o ISO para configurar seu host de segurança de dados híbridos.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos totais de administrador.

Se você não tiver uma licença do Docker Desktop, poderá usar o Podman Desktop para executar a ferramenta de configuração do HDS nas etapas 1 a 5 do procedimento abaixo. Consulte Executar a ferramenta de configuração do HDS usando o Podman Desktop para obter detalhes.

Se a ferramenta de configuração do HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5 abaixo. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição

Variável

Proxy HTTP sem autenticação

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS sem autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP com autenticação

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

Proxy HTTPS com autenticação

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
O arquivo ISO de configuração gerado contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisará da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificados
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação do PostgreSQL ou SQL Server para TLS.

1

Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

Em ambientes regulares:

docker rmi ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

2

Para se inscrever no registro de imagem do Docker, insira o seguinte:

docker login -u hdscustomersro

3

No prompt de senha, digite este hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Baixe a imagem estável mais recente para o seu ambiente:

Em ambientes regulares:

docker pull ciscocitg/hds-setup:stable

Em ambientes FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

Em ambientes regulares sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes regulares com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Em ambientes FedRAMP sem um proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Em ambientes FedRAMP com um proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".

6

A ferramenta de configuração não oferece suporte à conexão com o host local por meio de http://localhost:8080. Use http://127.0.0.1:8080 para conectar ao host local.

Use um navegador da web para acessar o host local, http://127.0.0.1:8080e digite o nome de usuário do administrador do Partner Hub no prompt.

A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta então exibe o prompt de login padrão.

7

Quando solicitado, insira suas credenciais de login de administrador do Partner Hub e clique em Fazer login para permitir acesso aos serviços necessários para o Hybrid Data Security.

8

Na página de visão geral da Ferramenta de configuração, clique em Começar.

9

Na página Importação ISO, você tem estas opções:

Não—Se você estiver criando seu primeiro nó HDS, não terá um arquivo ISO para carregar.
Sim—Se você já criou nós HDS, selecione seu arquivo ISO no navegador e carregue-o.

10

Verifique se o seu certificado X.509 atende aos requisitos em Requisitos do certificado X.509.

Se você nunca carregou um certificado antes, carregue o certificado X.509, digite a senha e clique em Continuar.
Se o seu certificado estiver OK, clique em Continuar.
Se o seu certificado expirou ou você deseja substituí-lo, selecione Não para Continuar usando a cadeia de certificados HDS e a chave privada do ISO anterior?. Carregue um novo certificado X.509, digite a senha e clique em Continuar.

11

Insira o endereço do banco de dados e a conta para que o HDS acesse seu armazenamento de dados de chaves:

Selecione seu Tipo de banco de dados (PostgreSQL ou Microsoft SQL Server).

Se você escolher Microsoft SQL Server, você obterá um campo Tipo de Autenticação.
(Somente Microsoft SQL Server ) Selecione seu Tipo de autenticação:
- Autenticação Básica: Você precisa de um nome de conta local do SQL Server no campo Nome de usuário.
- Autenticação do Windows: Você precisa de uma conta do Windows no formato username@DOMAIN no campo Nome de usuário.
Digite o endereço do servidor de banco de dados no formato : ou :.

Exemplo:
dbhost.example.org:1433 ou 198.51.100.17:1433

Você pode usar um endereço IP para autenticação básica, se os nós não puderem usar DNS para resolver o nome do host.

Se você estiver usando a autenticação do Windows, deverá inserir um Nome de Domínio Totalmente Qualificado no formato dbhost.example.org:1433
Digite o Nome do banco de dados.
Digite o Nome de usuário e a Senha de um usuário com todos os privilégios no banco de dados de armazenamento de chaves.

12

Selecione um Modo de conexão de banco de dados TLS:

Mode	Descrição
Preferir TLS (opção padrão)	Os nós do HDS não exigem que o TLS se conecte ao servidor de banco de dados. Se você habilitar o TLS no servidor de banco de dados, os nós tentarão uma conexão criptografada.
Exigir TLS	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS.
Exigir TLS e verificar o signer de certificado	Este modo não é aplicável para bancos de dados SQL Server. Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Após estabelecer uma conexão TLS, o nó compara o signatário do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.
Exigir TLS e verificar o signer de certificado e o nome do host	Nós do HDS conectam-se apenas se o servidor de banco de dados pode negociar TLS. Após estabelecer uma conexão TLS, o nó compara o signatário do certificado do servidor de banco de dados com a autoridade de certificação no Certificado raiz do banco de dados. Se elas não corresponderem, o nó cai na conexão. Os nós também verificam se o nome do host no certificado do servidor corresponde ao nome do host no campo Host e porta do banco de dados. Os nomes devem corresponder exatamente ou o nó cai na conexão. Use o controle certificado raiz banco de dados abaixo da lista certificado raiz para esta opção.

Quando você carrega o certificado raiz (se necessário) e clica em Continuar, a Ferramenta de Configuração HDS testa a conexão TLS com o servidor de banco de dados. A ferramenta também verifica o signador de certificado e o nome do host, se aplicável. Se um teste falhar, a ferramenta mostra uma mensagem de erro descrevendo o problema. Você pode escolher se ignorar o erro e continuar com a configuração. (Devido a diferenças de conectividade, os nós HDS podem estabelecer a conexão TLS mesmo que a máquina da Ferramenta de Configuração HDS não consiga testá-la com sucesso.)

13

Na página Logs do Sistema, configure seu servidor Syslogd:

Digite o URL do servidor syslog.

Se o servidor não puder ser resolvido por DNS a partir dos nós do seu cluster HDS, use um endereço IP no URL.

Exemplo:
udp://10.92.43.23:514 indica registro no host Syslogd 10.92.43.23 na porta UDP 514.
Se você configurar seu servidor para usar criptografia TLS, marque Seu servidor syslog está configurado para criptografia SSL?.

Se você marcar esta caixa de seleção, certifique-se de inserir uma URL TCP como tcp://10.92.43.23:514.
No menu suspenso Escolher encerramento de registro do syslog, escolha a configuração apropriada para seu arquivo ISO: Escolha ou Nova Linha é usado para Graylog e Rsyslog TCP
- Byte nulo -- \x00
- Nova linha -- \n—Selecione esta opção para Graylog e Rsyslog TCP.
Clique em Continuar.

14

(Opcional) Você pode alterar o valor padrão para alguns parâmetros de conexão de banco de dados em Configurações avançadas. Geralmente, esse parâmetro é o único que você pode querer alterar:

app_datasource_connection_pool_maxSize: 10

15

Clique em Continuar na tela Redefinir senha de contas de serviço.

As senhas das contas de serviço têm uma vida útil de nove meses. Use esta tela quando suas senhas estiverem próximas de expirar ou você quiser redefini-las para invalidar arquivos ISO anteriores.

16

Clique em Baixar arquivo ISO. Salve o arquivo em um local fácil de encontrar.

17

Faça uma cópia de backup do arquivo ISO no seu sistema local.

Mantenha a cópia de segurança segura. Este arquivo contém uma chave mestra de criptografia para o conteúdo do banco de dados. Restrinja o acesso somente aos administradores do Hybrid Data Security que devem fazer alterações na configuração.

18

Para desligar a ferramenta de instalação, digite CTRL+C.

O que fazer em seguida

Faça backup do arquivo ISO de configuração. Você precisa dele para criar mais nós para recuperação ou para fazer alterações na configuração. Se você perder todas as cópias do arquivo ISO, também perderá a chave mestra. Não é possível recuperar as chaves do seu banco de dados PostgreSQL ou Microsoft SQL Server.

Nunca temos uma cópia desta chave e não podemos ajudar se você a perder.

Instalar o HDS Host OVA

Use este procedimento para criar uma máquina virtual a partir do arquivo OVA.

1	Use o cliente VMware vSphere no seu computador para efetuar login no host virtual ESXi.
2	Selecione Arquivo > Implantar modelo OVF.
3	No assistente, especifique o local do arquivo OVA que você baixou anteriormente e clique em Avançar.
4	Na página Selecione um nome e uma pasta, insira um Nome da máquina virtual para o nó (por exemplo, "HDS_Node_1"), escolha um local onde a implantação do nó da máquina virtual pode residir e clique em Avançar.
5	Na página Selecionar um recurso de computação, escolha o recurso de computação de destino e clique em Avançar. Uma verificação de validação é executada. Após a conclusão, os detalhes do modelo aparecem.
6	Verifique os detalhes do modelo e clique em Avançar.
7	Se você for solicitado a escolher a configuração do recurso na página Configuração, clique em 4 CPU e depois clique em Avançar.
8	Na página Selecionar armazenamento, clique em Avançar para aceitar o formato de disco padrão e a política de armazenamento da VM.
9	Na página Selecionar redes, escolha a opção de rede na lista de entradas para fornecer a conectividade desejada à VM.
10	Na página Personalizar modelo, configure as seguintes configurações de rede: Nome do host— Insira o FQDN (nome do host e domínio) ou um nome de host de uma única palavra para o nó. Você não precisa definir o domínio para corresponder ao domínio usado para obter o certificado X.509. Para garantir um registro bem-sucedido na nuvem, use apenas caracteres minúsculos no FQDN ou no nome do host que você definiu para o nó. A capitalização não é suportada no momento. O comprimento total do FQDN não deve exceder 64 caracteres. Endereço IP— Insira o endereço IP para a interface interna do nó. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado. Máscara— Insira o endereço da máscara de sub-rede em notação ponto-decimal. Por exemplo, 255.255.255.0. Gateway—Digite o endereço IP do gateway. Um gateway é um nó de rede que serve como ponto de acesso para outra rede. Servidores DNS— Insira uma lista separada por vírgulas de servidores DNS, que lidam com a tradução de nomes de domínio em endereços IP numéricos. (Até 4 entradas DNS são permitidas.) Servidores NTP— Insira o servidor NTP da sua organização ou outro servidor NTP externo que pode ser usado na sua organização. Os servidores NTP padrão podem não funcionar para todas as empresas. Você também pode usar uma lista separada por vírgulas para inserir vários servidores NTP. Implante todos os nós na mesma sub-rede ou VLAN, para que todos os nós em um cluster possam ser acessados por clientes na sua rede para fins administrativos. Se preferir, você pode pular a configuração de rede e seguir as etapas em Configurar a VM de segurança de dados híbrida para definir as configurações no console do nó. A opção de configurar as definições de rede durante a implantação do OVA foi testada com o ESXi 7.0 e 8.0. A opção pode não estar disponível em versões anteriores.
11	Clique com o botão direito do mouse no nó VM e escolha Energia > Ligar. O software Hybrid Data Security é instalado como convidado no host da VM. Agora você está pronto para entrar no console e configurar o nó. Dicas de solução de problemas Pode haver um atraso de alguns minutos antes que os contêineres de nós sejam ativados. Uma mensagem de firewall de ponte aparece no console durante a primeira inicialização, durante a qual você não consegue fazer login.

Configurar a VM de segurança de dados híbrida

Use este procedimento para fazer logon no console da VM do nó do Hybrid Data Security pela primeira vez e definir as credenciais de logon. Você também pode usar o console para configurar as definições de rede do nó, caso não as tenha configurado no momento da implantação do OVA.

1	No cliente VMware vSphere, selecione a VM do nó Hybrid Data Security e selecione a guia Console. A VM é inicializada e um prompt de login é exibido. Se o prompt de login não for exibido, pressione Enter.
2	Use o seguinte login e senha padrão para fazer login e alterar as credenciais: Conecte-se: `admin` Senha: `cisco` Como você está entrando na sua VM pela primeira vez, é necessário alterar a senha do administrador.
3	Se você já configurou as configurações de rede em Instalar o HDS Host OVA, pule o restante deste procedimento. Caso contrário, no menu principal, selecione a opção Editar configuração.
4	Defina uma configuração estática com endereço IP, máscara, gateway e informações de DNS. Seu nó deve ter um endereço IP interno e um nome DNS. DHCP não é suportado.
5	(Opcional) Altere o nome do host, o domínio ou o(s) servidor(es) NTP, se necessário, para corresponder à sua política de rede. Você não precisa definir o domínio para corresponder ao domínio usado para obter o certificado X.509.
6	Salve a configuração de rede e reinicie a VM para que as alterações entrem em vigor.

Carregar e montar o ISO de configuração do HDS

Use este procedimento para configurar a máquina virtual a partir do arquivo ISO que você criou com a HDS Setup Tool.

Antes de começar

Como o arquivo ISO contém a chave mestra, ele só deve ser exposto quando necessário, para acesso pelas VMs do Hybrid Data Security e quaisquer administradores que precisem fazer alterações. Certifique-se de que somente esses administradores possam acessar o armazenamento de dados.

1

Carregue o arquivo ISO do seu computador:

No painel de navegação esquerdo do cliente VMware vSphere, clique no servidor ESXi.
Na lista Hardware da guia Configuração, clique em Armazenamento.
Na lista Datastores, clique com o botão direito do mouse no datastore das suas VMs e clique em Procurar Datastore.
Clique no ícone Carregar arquivo e depois clique em Carregar arquivo.
Navegue até o local onde você baixou o arquivo ISO no seu computador e clique em Abrir.
Clique em Sim para aceitar o upload/download aviso de operação e feche a caixa de diálogo do armazenamento de dados.

2

Monte o arquivo ISO:

No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
Clique em OK para aceitar o aviso de opções de edição restritas.
Clique em CD/DVD Drive 1, selecione a opção para montar a partir de um arquivo ISO de armazenamento de dados e navegue até o local onde você carregou o arquivo ISO de configuração.
Verifique Conectado e Conectar ao ligar.
Salve suas alterações e reinicie a máquina virtual.

O que fazer em seguida

Se sua política de TI exigir, você pode, opcionalmente, desmontar o arquivo ISO depois que todos os seus nós receberem as alterações de configuração. Veja (Opcional) Desmontar ISO após configuração do HDS para detalhes.

Configurar o nó HDS para integração de proxy

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

Consulte Suporte a proxy para uma visão geral das opções de proxy suportadas.
Requisitos do servidor proxy

1	Insira a URL de configuração do nó HDS `https://[HDS Node IP or FQDN]/setup` em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Entrar.
2	Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção: Sem proxy— A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado. Proxy transparente sem inspeção— Os nós não são configurados para usar um endereço de servidor proxy específico e não devem exigir nenhuma alteração para funcionar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado. Proxy de inspeção transparente—Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS). Proxy explícito—Com o proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar, e esta opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações: Procuração IP/FQDN—Endereço que pode ser usado para acessar a máquina proxy. Porta do proxy— Um número de porta que o proxy usa para escutar o tráfego proxy. Protocolo Proxy— Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta. Tipo de autenticação—Escolha entre os seguintes tipos de autenticação: Nenhum—Nenhuma autenticação adicional é necessária. Disponível para proxies HTTP ou HTTPS. Básico—Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64. Disponível para proxies HTTP ou HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Digest—Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. Disponível apenas para proxies HTTPS. Se você escolher esta opção, você também deve inserir a nome de usuário e a senha. Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.
3	Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy. O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.
4	Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy. Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e consulte Desativar modo de resolução de DNS externo bloqueado.
5	Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.
6	Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto. O nó reinicia dentro de alguns minutos.
7	Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde. A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Registre o primeiro nó no cluster

Esta tarefa pega o nó genérico que você criou em Configurar a VM de segurança de dados híbrida, registra o nó na nuvem Webex e o transforma em um nó de segurança de dados híbrida.

Ao registrar seu primeiro nó, você cria um cluster ao qual o nó é atribuído. Um cluster contém um ou mais nós implantados para fornecer redundância.

Antes de começar

Após iniciar o registro de um nó, você deve concluí-lo em 60 minutos ou terá que começar tudo de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desabilitados ou que você permita uma exceção para admin.webex.com.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços de Nuvem, localize o cartão Hybrid Data Security e clique em Configurar.
4	Na página que se abre, clique em Adicionar um recurso.
5	No primeiro campo do cartão Adicionar um nó, insira um nome para o cluster ao qual você deseja atribuir seu nó de Segurança de Dados Híbridos. Recomendamos que você nomeie um cluster com base na localização geográfica dos nós do cluster. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
6	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome do host e domínio que você usou em Configurar a VM de segurança de dados híbrida. Uma mensagem aparece indicando que você pode registrar seu nó no Webex.
7	Clique em Ir para o nó. Após alguns instantes, você será redirecionado para os testes de conectividade de nós para serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
8	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex.
9	Clique no link ou feche a aba para voltar à página Segurança de Dados Híbridos do Partner Hub. Na página Segurança de Dados Híbridos, o novo cluster contendo o nó que você registrou é exibido na guia Recursos. O nó baixará automaticamente o software mais recente da nuvem.

Crie e registre mais nós

Para adicionar nós adicionais ao seu cluster, basta criar VMs adicionais, montar o mesmo arquivo ISO de configuração e registrar o nó. Recomendamos que você tenha pelo menos 3 nós.

Antes de começar

Após iniciar o registro de um nó, você deve concluí-lo em 60 minutos ou terá que começar tudo de novo.
Certifique-se de que todos os bloqueadores de pop-up no seu navegador estejam desabilitados ou que você permita uma exceção para admin.webex.com.

1	Crie uma nova máquina virtual a partir do OVA, repetindo as etapas em Instalar o HDS Host OVA.
2	Configure a configuração inicial na nova VM, repetindo as etapas em Configurar a VM de segurança de dados híbrida.
3	Na nova VM, repita as etapas em Carregar e montar o ISO de configuração do HDS.
4	Se você estiver configurando um proxy para sua implantação, repita as etapas em Configurar o nó HDS para integração de proxy conforme necessário para o novo nó.
5	Registre o nó. Em https://admin.webex.com, selecione Serviços no menu do lado esquerdo da tela. Na seção Serviços de Nuvem, localize o cartão Segurança de Dados Híbrida e clique em Ver tudo. A página Recursos de segurança de dados híbridos é exibida. O cluster recém-criado aparecerá na página Recursos. Clique no cluster para visualizar os nós atribuídos a ele. Clique em Adicionar um nó no lado direito da tela. Insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar. Uma página é aberta com uma mensagem indicando que você pode registrar seu nó na nuvem Webex. Após alguns instantes, você será redirecionado para os testes de conectividade de nós para serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização para acessar seu nó. Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó agora está registrado na nuvem Webex. Clique no link ou feche a aba para voltar à página Segurança de Dados Híbridos do Partner Hub. Nó adicionado A mensagem pop-up também aparece na parte inferior da tela no Partner Hub. Seu nó está registrado.

Gerenciar organizações de locatários em segurança de dados híbrida multilocatário

Ativar HDS multilocatário no Partner Hub

Essa tarefa garante que todos os usuários das organizações do cliente possam começar a aproveitar o HDS para chaves de criptografia locais e outros serviços de segurança.

Antes de começar

Certifique-se de ter concluído a configuração do seu cluster HDS multilocatário com o número necessário de nós.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços de Nuvem, localize Segurança de Dados Híbrida e clique em Editar Configurações.
4	Clique em Ativar HDS no cartão Status do HDS.

Adicionar organizações de locatários no Partner Hub

Nesta tarefa, você atribuirá organizações de clientes ao seu Cluster de Segurança de Dados Híbrido.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços de Nuvem, encontre Segurança de Dados Híbrida e clique em Ver tudo.
4	Clique no cluster ao qual você deseja que um cliente seja atribuído.
5	Acesse a aba Clientes atribuídos.
6	Clique em Adicionar clientes.
7	Selecione o cliente que você deseja adicionar no menu suspenso.
8	Clique em Adicionar, o cliente será adicionado ao cluster.
9	Repita as etapas 6 a 8 para adicionar vários clientes ao seu cluster.
10	Clique em Concluído na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração do HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração do HDS para concluir o processo de configuração.

Crie Chaves Principais do Cliente (CMKs) usando a ferramenta de configuração do HDS

Antes de começar

Atribua clientes ao cluster apropriado, conforme detalhado em Adicionar organizações de locatários no Partner Hub. Execute a ferramenta de configuração do HDS para concluir o processo de configuração das organizações clientes recém-adicionadas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos totais de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração gerado contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisará da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificados
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação do PostgreSQL ou SQL Server para TLS.

O processo de configuração do Hybrid Data Security cria um arquivo ISO. Em seguida, use o ISO para configurar seu host de segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não oferece suporte à conexão com o host local por meio de http://localhost:8080. Use http://127.0.0.1:8080 para conectar ao host local. Use um navegador da web para acessar o host local, `http://127.0.0.1:8080`e digite o nome de usuário do administrador do Partner Hub no prompt. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta então exibe o prompt de login padrão.
7	Quando solicitado, insira suas credenciais de login de administrador do Partner Hub e clique em Fazer login para permitir acesso aos serviços necessários para o Hybrid Data Security.
8	Na página de visão geral da Ferramenta de configuração, clique em Começar.
9	Na página Importação ISO, clique em Sim.
10	Selecione seu arquivo ISO no navegador e faça upload dele. Garanta a conectividade com seu banco de dados para executar o gerenciamento do CMK.
11	Acesse a aba Gerenciamento de CMKs do Tenant, onde você encontrará as três maneiras a seguir para gerenciar CMKs do Tenant. Criar CMK para todas as ORGs ou Criar CMK - Clique neste botão no banner na parte superior da tela para criar CMKs para todas as organizações recém-adicionadas. Clique no botão Gerenciar CMKs no lado direito da tela e clique em Criar CMKs para criar CMKs para todas as organizações recém-adicionadas. Clique em … próximo ao status pendente de gerenciamento de CMK de uma organização específica na tabela e clique em Criar CMK para criar CMK para essa organização.
12	Após a criação do CMK ser bem-sucedida, o status na tabela mudará de Gerenciamento de CMK pendente para Gerenciamento de CMK.
13	Se a criação da CMK não for bem-sucedida, um erro será exibido.

Remover organizações de inquilinos

Antes de começar

Uma vez removido, os usuários das organizações clientes não poderão utilizar o HDS para suas necessidades de criptografia e perderão todos os espaços existentes. Antes de remover organizações de clientes, entre em contato com seu parceiro ou gerente de contas da Cisco.

1	Inicie sessão em https://admin.webex.com.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços de Nuvem, encontre Segurança de Dados Híbrida e clique em Ver tudo.
4	Na guia Recursos, clique no cluster do qual você deseja remover organizações de clientes.
5	Na página que se abre, clique em Clientes Atribuídos.
6	Na lista de organizações de clientes exibidas, clique em ... no lado direito da organização do cliente que você deseja remover e clique em Remover do cluster.

O que fazer em seguida

Conclua o processo de remoção revogando as CMKs das organizações do cliente, conforme detalhado em Revogar CMKs de locatários removidos do HDS.

Revogar CMKs de inquilinos removidos do HDS.

Antes de começar

Remova clientes do cluster apropriado, conforme detalhado em Remover organizações de locatários. Execute a ferramenta de instalação do HDS para concluir o processo de remoção das organizações de clientes que foram removidas.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos totais de administrador para sua organização.

Se a ferramenta de configuração do HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração gerado contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisará da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificados
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação do PostgreSQL ou SQL Server para TLS.

O processo de configuração do Hybrid Data Security cria um arquivo ISO. Em seguida, use o ISO para configurar seu host de segurança de dados híbridos.

1	Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.
2	Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro`
3	No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080".
6	A ferramenta de configuração não oferece suporte à conexão com o host local por meio de http://localhost:8080. Use http://127.0.0.1:8080 para conectar ao host local. Use um navegador da web para acessar o host local, `http://127.0.0.1:8080`e digite o nome de usuário do administrador do Partner Hub no prompt. A ferramenta usa essa primeira entrada do nome de usuário para definir o ambiente adequado para essa conta. A ferramenta então exibe o prompt de login padrão.
7	Quando solicitado, insira suas credenciais de login de administrador do Partner Hub e clique em Fazer login para permitir acesso aos serviços necessários para o Hybrid Data Security.
8	Na página de visão geral da Ferramenta de configuração, clique em Começar.
9	Na página Importação ISO, clique em Sim.
10	Selecione seu arquivo ISO no navegador e faça upload dele.
11	Acesse a aba Gerenciamento de CMKs do Tenant, onde você encontrará as três maneiras a seguir para gerenciar CMKs do Tenant. Revogar CMK para todas as ORGs ou Revogar CMK - Clique neste botão no banner na parte superior da tela para revogar CMKs de todas as organizações que foram removidas. Clique no botão Gerenciar CMKs no lado direito da tela e clique em Revogar CMKs para revogar CMKs de todas as organizações que foram removidas. Clique em … próximo ao status CMK a ser revogado de uma organização específica na tabela e clique em Revogar CMK para revogar o CMK para essa organização específica.
12	Quando a revogação do CMK for bem-sucedida, a organização do cliente não aparecerá mais na tabela.
13	Se a revogação do CMK não for bem-sucedida, um erro será exibido.

Teste sua implantação de Segurança de Dados Híbridos

Teste sua implantação de segurança de dados híbridos

Use este procedimento para testar cenários de criptografia de segurança de dados híbrida multilocatário.

Antes de começar

Configure sua implantação de segurança de dados híbrida multilocatário.
Certifique-se de ter acesso ao syslog para verificar se as solicitações principais estão sendo passadas para sua implantação do Multi-Tenant Hybrid Data Security.

1

As chaves para um determinado espaço são definidas pelo criador do espaço. Entre no aplicativo Webex como um dos usuários da organização do cliente e crie um espaço.

Se você desativar a implantação do Hybrid Data Security, o conteúdo nos espaços criados pelos usuários não estará mais acessível depois que as cópias em cache do cliente das chaves de criptografia forem substituídas.

2

Envie mensagens para o novo espaço.

3

Verifique a saída do syslog para verificar se as solicitações principais estão sendo passadas para sua implantação do Hybrid Data Security.

Se um usuário de uma organização de cliente recém-adicionada executar qualquer ação, o ID da organização aparecerá nos logs, e isso pode ser usado para verificar se a organização está aproveitando o Multi-Tenant HDS. Verifique o valor de kms.data.orgId nos syslogs.

Para verificar se um usuário está estabelecendo um canal seguro para o KMS, filtre por kms.data.method=create e kms.data.type=EPHEMERAL_KEY_COLLECTION:

Você deve encontrar uma entrada como a seguinte (identificadores abreviados para facilitar a leitura):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Para verificar se um usuário solicitou uma chave existente do KMS, filtre por kms.data.method=retrieve e kms.data.type=KEY:

Você deve encontrar uma entrada, como:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Para verificar se um usuário solicitou a criação de uma nova chave KMS, filtre por kms.data.method=create e kms.data.type=KEY_COLLECTION:

Você deve encontrar uma entrada, como:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Para verificar se um usuário está solicitando a criação de um novo Objeto de Recurso KMS (KRO) quando um espaço ou outro recurso protegido é criado, filtre por kms.data.method=create e kms.data.type=RESOURCE_COLLECTION:

Você deve encontrar uma entrada, como:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Monitore a saúde da segurança de dados híbridos

Um indicador de status no Partner Hub mostra se tudo está bem com a implantação do Multi-Tenant Hybrid Data Security. Para receber alertas mais proativos, inscreva-se para receber notificações por e-mail. Você será notificado quando houver alarmes que impactem o serviço ou atualizações de software.

1	Em Partner Hub, selecione Serviços no menu no lado esquerdo da tela.
2	Na seção Serviços de Nuvem, localize Segurança de Dados Híbrida e clique em Editar Configurações. A página Configurações de segurança de dados híbridos é exibida.
3	Na seção Notificações por e-mail, digite um ou mais endereços de e-mail separados por vírgulas e pressione Enter.

Gerencie sua implantação de HDS

Gerenciar implantação do HDS

Use as tarefas descritas aqui para gerenciar sua implantação de segurança de dados híbrida.

Definir cronograma de atualização do cluster

As atualizações de software para Hybrid Data Security são feitas automaticamente no nível do cluster, o que garante que todos os nós estejam sempre executando a mesma versão do software. As atualizações são feitas de acordo com o cronograma de atualização do cluster. Quando uma atualização de software estiver disponível, você terá a opção de atualizar manualmente o cluster antes do horário agendado para atualização. Você pode definir um cronograma de atualização específico ou usar o cronograma padrão de 3:00 AM Daily Estados Unidos: America/Los Anjos. Você também pode optar por adiar uma atualização futura, se necessário.

Para definir o cronograma de atualização:

1	Entrar no Hub de parceiros.
2	No menu do lado esquerdo da tela, selecione Serviços.
3	Na seção Serviços de Nuvem, encontre Segurança de Dados Híbrida e clique em Configurar
4	Na página Recursos de segurança de dados híbridos, selecione o cluster.
5	Clique na aba Configurações do Cluster.
6	Na página Configurações do cluster, em Agendamento de atualização, selecione a hora e o fuso horário para o agendamento de atualização. Nota: Abaixo do fuso horário, a próxima data e hora de atualização disponível são exibidas. Você pode adiar a atualização para o dia seguinte, se necessário, clicando em Adiar por 24 horas.

Alterar a configuração do nó

Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

Alteração de certificado x.509 devido à expiração ou outras razões.

Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.
Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.
Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

Redefinição suave—As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.
Reinicialização forçada— As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Partner Hub com direitos totais de administrador do parceiro.

Se você não tiver uma licença do Docker Desktop, poderá usar o Podman Desktop para executar a ferramenta de configuração do HDS para as etapas 1.a a 1.e no procedimento abaixo. Consulte Executar a ferramenta de configuração do HDS usando o Podman Desktop para obter detalhes.

Se a ferramenta de configuração do HDS for executada por trás de um proxy em seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker em 1.e. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. O ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou o Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1	Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente: Em ambientes regulares: `docker rmi ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar. Para se inscrever no registro de imagem do Docker, insira o seguinte: `docker login -u hdscustomersro` No prompt de senha, digite este hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Baixe a imagem estável mais recente para o seu ambiente: Em ambientes regulares: `docker pull ciscocitg/hds-setup:stable` Em ambientes FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha. Quando o pull for concluído, insira o comando apropriado para o seu ambiente: Em ambientes regulares sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Em ambientes regulares com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes regulares com um HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Em ambientes FedRAMP sem um proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Em ambientes FedRAMP com um proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Quando o contêiner está em execução, você vê "Servidor Express escuta na porta 8080". Use um navegador para se conectar ao anfitrião local, `http://127.0.0.1:8080`. A ferramenta de configuração não oferece suporte à conexão com o host local por meio de http://localhost:8080. Use http://127.0.0.1:8080 para conectar ao host local. Quando solicitado, insira suas credenciais de login do cliente do Partner Hub e clique em Aceitar para continuar. Importe o arquivo ISO de configuração atual. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado. Para desligar a ferramenta de instalação, digite `CTRL+C`. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.
2	Se você tiver apenas um nó HDS em execução, crie uma nova VM do nó Hybrid Data Security e registre-a usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós. Instale o OVA do host HDS. Configure a VM do HDS. Monte o arquivo de configuração atualizado. Registre o novo nó no Partner Hub.
3	Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó: Desligue a máquina virtual. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações. Clique em `CD/DVD Drive 1`, selecione a opção para montar a partir de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração. Marque Conectar ao ligar. Salve suas alterações e ligue a máquina virtual.
4	Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.

Desligar o modo de resolução DNS externo bloqueado

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.

1	Em um navegador da web, abra a interface do nó Hybrid Data Security (IP address/setup, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Entrar.
2	Vá para visão geral (a página padrão). Quando ativado, a resolução DNS externa bloqueada é definida como Sim.
3	Vá para a página de armazenamento de confiança & proxy .
4	Clique em verificar conexão proxy. Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Remover um nó

Use este procedimento para remover um nó de segurança de dados híbridos da nuvem Webex. Depois de remover o nó do cluster, exclua a máquina virtual para impedir mais acesso aos seus dados de segurança.

1

Use o cliente VMware vSphere no seu computador para fazer login no host virtual ESXi e desligar a máquina virtual.

2

Remova o nó:

Entre no Partner Hub e selecione Serviços.
No cartão Segurança de Dados Híbridos, clique em Exibir tudo para exibir a página Recursos de Segurança de Dados Híbridos.
Selecione seu cluster para exibir seu painel Visão geral.
Clique no nó que você deseja remover.
Clique em Cancelar registro deste nó no painel que aparece à direita
Você também pode cancelar o registro do nó clicando em … no lado direito do nó e selecionando Remover este nó.

3

No cliente vSphere, exclua a VM. (No painel de navegação esquerdo, clique com o botão direito do mouse na VM e clique em Excluir.)

Se você não excluir a VM, lembre-se de desmontar o arquivo ISO de configuração. Sem o arquivo ISO, você não pode usar a VM para acessar seus dados de segurança.

Recuperação de desastres usando o Standby Data Center

O serviço mais crítico que seu cluster de segurança de dados híbridos fornece é a criação e o armazenamento de chaves usadas para criptografar mensagens e outros conteúdos armazenados na nuvem Webex. Para cada usuário dentro da organização que é atribuído ao Hybrid Data Security, novas solicitações de criação de chaves são roteadas para o cluster. O cluster também é responsável por retornar as chaves que ele criou para qualquer usuário autorizado a recuperá-las, por exemplo, membros de um espaço de conversação.

Como o cluster desempenha a função crítica de fornecer essas chaves, é essencial que ele permaneça em execução e que backups adequados sejam mantidos. A perda do banco de dados do Hybrid Data Security ou da configuração ISO usada para o esquema resultará em PERDA IRRECUPERÁVEL do conteúdo do cliente. As seguintes práticas são obrigatórias para evitar tal perda:

Se um desastre fizer com que a implantação do HDS no data center principal fique indisponível, siga este procedimento para fazer failover manualmente para o data center em espera.

Antes de começar

Cancele o registro de todos os nós do Partner Hub, conforme mencionado em Remover um nó. Use o arquivo ISO mais recente que foi configurado nos nós do cluster que estavam ativos anteriormente para executar o procedimento de failover mencionado abaixo.

1	Inicie a ferramenta de configuração do HDS e siga as etapas mencionadas em Criar um ISO de configuração para os hosts HDS.
2	Conclua o processo de configuração e salve o arquivo ISO em um local fácil de encontrar.
3	Faça uma cópia de backup do arquivo ISO no seu sistema local. Mantenha a cópia de segurança segura. Este arquivo contém uma chave mestra de criptografia para o conteúdo do banco de dados. Restrinja o acesso somente aos administradores do Hybrid Data Security que devem fazer alterações na configuração.
4	No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.
5	Clique em Editar configurações >CD/DVD Unidade 1 e selecione Arquivo ISO do armazenamento de dados. Certifique-se de que Conectado e Conectar ao ligar estejam marcados para que as alterações de configuração atualizadas possam entrar em vigor após iniciar os nós.
6	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 15 minutos.
7	Registre o nó no hub de parceiros. Consulte Registre o primeiro nó no cluster.
8	Repita o processo para cada nó no data center em espera.

O que fazer em seguida

Após o failover, se o data center principal ficar ativo novamente, cancele o registro dos nós do data center em espera e repita o processo de configuração do ISO e registro dos nós do data center principal, conforme mencionado acima.

(Opcional) Desmontar ISO após a configuração do HDS

A configuração padrão do HDS é executada com o ISO montado. Mas alguns clientes preferem não deixar os arquivos ISO montados continuamente. Você pode desmontar o arquivo ISO depois que todos os nós do HDS adotarem a nova configuração.

Você ainda usa os arquivos ISO para fazer alterações na configuração. Ao criar um novo ISO ou atualizar um ISO por meio da Ferramenta de Configuração, você deve montar o ISO atualizado em todos os seus nós HDS. Depois que todos os seus nós tiverem recebido as alterações de configuração, você poderá desmontar o ISO novamente com este procedimento.

Antes de começar

Atualize todos os seus nós HDS para a versão 2021.01.22.4720 ou posterior.

1	Desligue um dos seus nós HDS.
2	No vCenter Server Appliance, selecione o nó HDS.
3	Selecione Editar configurações > CD/DVD unidade e desmarque Arquivo ISO do armazenamento de dados.
4	Ligue o nó HDS e certifique-se de que não haja alarmes por pelo menos 20 minutos.
5	Repita para cada nó HDS por vez.

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solucionar problemas

Uma implantação do Hybrid Data Security é considerada indisponível se todos os nós no cluster estiverem inacessíveis ou se o cluster estiver funcionando tão lentamente que as solicitações atinjam o tempo limite. Se os usuários não conseguirem acessar seu cluster de Segurança de Dados Híbridos, eles apresentarão os seguintes sintomas:

Não é possível criar novos espaços (não é possível criar novas chaves)
Falha na descriptografia de mensagens e títulos de espaços para:
- Novos usuários adicionados a um espaço (não é possível buscar chaves)
- Usuários existentes em um espaço usando um novo cliente (não é possível buscar chaves)
Os usuários existentes em um espaço continuarão a operar com sucesso enquanto seus clientes tiverem um cache das chaves de criptografia

É importante que você monitore adequadamente seu cluster de Segurança de Dados Híbridos e responda a quaisquer alertas imediatamente para evitar a interrupção do serviço.

Alertas

Se houver um problema com a configuração do Hybrid Data Security, o Partner Hub exibirá alertas ao administrador da organização e enviará e-mails para o endereço de e-mail configurado. Os alertas abrangem muitos cenários comuns.

Tabela 1. Problemas comuns e as etapas para resolvê-los
Alerta	Ação
Falha no acesso ao banco de dados local.	Verifique se há erros no banco de dados ou problemas na rede local.
Falha na conexão do banco de dados local.	Verifique se o servidor de banco de dados está disponível e se as credenciais corretas da conta de serviço foram usadas na configuração do nó.
Falha no acesso ao serviço de nuvem.	Verifique se os nós podem acessar os servidores Webex conforme especificado em Requisitos de conectividade externa.
Renovando o registro do serviço em nuvem.	O registro nos serviços de nuvem foi cancelado. A renovação do registro está em andamento.
O registro do serviço em nuvem foi cancelado.	O registro nos serviços de nuvem foi encerrado. O serviço está sendo encerrado.
Serviço ainda não ativado.	Ative o HDS no Partner Hub.
O domínio configurado não corresponde ao certificado do servidor.	Certifique-se de que o certificado do servidor corresponda ao domínio de ativação do serviço configurado. A causa mais provável é que o CN do certificado foi alterado recentemente e agora é diferente do CN que foi usado durante a configuração inicial.
Falha na autenticação nos serviços de nuvem.	Verifique a precisão e possível expiração das credenciais da conta de serviço.
Falha ao abrir o arquivo keystore local.	Verifique a integridade e a precisão da senha no arquivo keystore local.
O certificado do servidor local é inválido.	Verifique a data de validade do certificado do servidor e confirme se ele foi emitido por uma Autoridade de Certificação confiável.
Não é possível publicar métricas.	Verifique o acesso da rede local aos serviços de nuvem externos.
/media/configdrive/hds diretório não existe.	Verifique a configuração de montagem ISO no host virtual. Verifique se o arquivo ISO existe, se ele está configurado para ser montado na reinicialização e se ele é montado com sucesso.
A configuração da organização do locatário não foi concluída para as organizações adicionadas	Conclua a configuração criando CMKs para organizações de locatários recém-adicionadas usando a Ferramenta de configuração do HDS.
A configuração da organização do locatário não foi concluída para as organizações removidas	Conclua a configuração revogando as CMKs das organizações locatárias que foram removidas usando a Ferramenta de configuração do HDS.

Solucionar problemas de segurança de dados híbridos

Use as seguintes diretrizes gerais ao solucionar problemas com o Hybrid Data Security.

1	Revise o Partner Hub para verificar se há alertas e corrija quaisquer itens que você encontrar lá. Veja a imagem abaixo para referência.
2	Revise a saída do servidor syslog para verificar a atividade da implantação do Hybrid Data Security. Filtre por palavras como "Aviso" e "Erro" para ajudar na solução de problemas.
3	Entre em contato com o suporte da Cisco.

Outras notas

Problemas conhecidos para segurança de dados híbridos

Se você desligar seu cluster do Hybrid Data Security (excluindo-o no Partner Hub ou desligando todos os nós), perder seu arquivo ISO de configuração ou perder o acesso ao banco de dados do keystore, os usuários do aplicativo Webex de organizações clientes não poderão mais usar espaços em suas listas de Pessoas que foram criadas com chaves do seu KMS. No momento, não temos uma solução alternativa ou correção para esse problema e pedimos que você não desligue seus serviços HDS quando eles estiverem manipulando contas de usuários ativas.
Um cliente que tem uma conexão ECDH existente com um KMS mantém essa conexão por um período de tempo (provavelmente uma hora).

Execute a ferramenta de configuração do HDS usando o Podman Desktop

Podman é uma ferramenta de gerenciamento de contêineres gratuita e de código aberto que fornece uma maneira de executar, gerenciar e criar contêineres. O Podman Desktop pode ser baixado de https://podman-desktop.io/downloads.

A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-lo, baixe e execute o Podman nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.

Se a ferramenta de configuração do HDS for executada por trás de um proxy no seu ambiente, forneça as configurações de proxy (servidor, porta, credenciais) por meio de variáveis de ambiente do Docker ao abrir o contêiner do Docker na etapa 5. Esta tabela fornece algumas variáveis de ambiente possíveis:

Descrição	Variável
Proxy HTTP sem autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sem autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP com autenticação	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS com autenticação	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

O arquivo ISO de configuração gerado contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisará da cópia mais recente deste arquivo sempre que fizer alterações de configuração, como estas:
- Credenciais do banco de dados
- Atualizações de certificados
- Alterações na política de autorização
Se você planeja criptografar conexões de banco de dados, configure sua implantação do PostgreSQL ou SQL Server para TLS.

O processo de configuração do Hybrid Data Security cria um arquivo ISO. Em seguida, use o ISO para configurar seu host de segurança de dados híbridos.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

O que fazer em seguida

Siga as etapas restantes em Criar uma configuração ISO para os hosts HDS ou Alterar a configuração do nó para criar ou alterar a configuração ISO.

Mover a implantação de HDS de locatário único existente de uma organização parceira no Control Hub para uma configuração de HDS de vários locatários no Partner Hub

A conversão de uma implantação HDS de locatário único existente de uma organização parceira gerenciada no Control Hub para uma implantação HDS de vários locatários gerenciada no Partner Hub envolve principalmente a desativação do serviço HDS no Control Hub, o cancelamento do registro de nós e a exclusão do cluster. Você pode então efetuar login no Partner Hub, registrar os nós, ativar o Multi-Tenant HDS e adicionar clientes ao seu cluster.

O termo "locatário único" refere-se simplesmente a uma implantação de HDS existente no Control Hub.

Desative o HDS, cancele o registro dos nós e exclua o cluster no Control Hub

1	Faça login no Control Hub. No painel esquerdo, clique em Híbrido. No cartão Hybrid Data Security, clique em Editar configurações.
2	Na página de configurações, role para baixo até a seção Desativar e clique em Desativar.
3	Após a desativação, clique na aba Recursos.
4	A página Recursos lista os clusters na sua implantação do HDS. Clique em um cluster e uma página será aberta com todos os nós daquele cluster.
5	Clique em ... à direita e clique em Cancelar registro do nó. Repita o processo para todos os nós do cluster.
6	Se sua implantação tiver vários clusters, repita as etapas 4 e 5 até que todos os nós sejam cancelados.
7	Clique em Configurações do cluster > Remover.
8	Clique em Confirmar remoção para cancelar o registro do cluster.
9	Repita o processo para todos os clusters na sua implantação do HDS. Após a desativação do HDS, o cancelamento do registro de nós e a remoção de clusters, o cartão Hybrid Data Service no Control Hub terá Configuração não concluída exibido na parte inferior.

Ative o Multi-Tenant HDS para a organização parceira no Partner Hub e adicione clientes

Antes de começar

Todos os pré-requisitos mencionados em Requisitos para segurança de dados híbridos multilocatários são aplicáveis aqui. Além disso, certifique-se de que o mesmo banco de dados e certificados sejam usados durante a migração para o Multi-Tenant HDS.

1	Faça login no Partner Hub. Clique em Serviços no painel esquerdo. Use o mesmo ISO da sua implantação anterior do HDS para configurar os nós. Isso garantirá que as mensagens e o conteúdo gerados pelos usuários na implantação anterior do HDS ainda estejam acessíveis na nova configuração multilocatário.
2	Na seção Serviços de Nuvem, localize o cartão Hybrid Data Security e clique em Configurar.
3	Na página que se abre, clique em Adicionar um recurso.
4	No primeiro campo do cartão Adicionar um nó, insira um nome para o cluster ao qual você deseja atribuir seu nó de Segurança de Dados Híbridos. Recomendamos que você nomeie um cluster com base na localização geográfica dos nós do cluster. Exemplos: "São Francisco" ou "Nova York" ou "Dallas"
5	No segundo campo, insira o endereço IP interno ou o nome de domínio totalmente qualificado (FQDN) do seu nó e clique em Adicionar na parte inferior da tela. Este endereço IP ou FQDN deve corresponder ao endereço IP ou nome do host e domínio que você usou em Configurar a VM de segurança de dados híbrida. Uma mensagem aparece indicando que você pode registrar seu nó no Webex.
6	Clique em Ir para o nó. Após alguns instantes, você será redirecionado para os testes de conectividade de nós para serviços Webex. Se todos os testes forem bem-sucedidos, a página Permitir acesso ao nó de segurança de dados híbridos será exibida. Lá, você confirma que deseja conceder permissões à sua organização Webex para acessar seu nó.
7	Marque a caixa de seleção Permitir acesso ao seu nó de segurança de dados híbridos e clique em Continuar. Sua conta foi validada e a mensagem "Registro concluído" indica que seu nó agora está registrado no Webex Cloud. Na página Segurança de Dados Híbridos, o novo cluster contendo o nó que você registrou é exibido na guia Recursos. O nó baixará automaticamente o software mais recente da nuvem.
8	Vá para a aba Configurações e clique em Ativar no cartão Status do HDS. A mensagem HDS ativado aparecerá na parte inferior da tela.
9	Em Recursos, clique no cluster recém-criado.
10	Na página que se abre, clique na aba Clientes atribuídos.
11	Clique em Adicionar clientes.
12	Selecione o cliente que você deseja adicionar no menu suspenso.
13	Clique em Adicionar, o cliente será adicionado ao cluster.
14	Repita as etapas 11 a 13 para adicionar vários clientes ao seu cluster.
15	Clique em Concluído na parte inferior da tela depois de adicionar os clientes.

O que fazer em seguida

Execute a ferramenta de configuração do HDS conforme detalhado em Criar chaves principais do cliente (CMKs) usando a ferramenta de configuração do HDS para concluir o processo de configuração.

Use OpenSSL para gerar um arquivo PKCS12

Antes de começar

OpenSSL é uma ferramenta que pode ser usada para criar o arquivo PKCS12 no formato adequado para carregamento na Ferramenta de Configuração do HDS. Há outras maneiras de fazer isso, e não apoiamos nem promovemos uma maneira em detrimento da outra.
Se você optar por usar o OpenSSL, estamos fornecendo este procedimento como uma diretriz para ajudá-lo a criar um arquivo que atenda aos requisitos do certificado X.509 em Requisitos do certificado X.509. Entenda esses requisitos antes de continuar.
Instale o OpenSSL em um ambiente compatível. Veja https://www.openssl.org para o software e a documentação.
Crie uma chave privada.
Inicie este procedimento quando receber o certificado do servidor da sua Autoridade de Certificação (CA).

1	Quando você receber o certificado do servidor da sua CA, salve-o como `hdsnode.pem`.
2	Exiba o certificado como texto e verifique os detalhes. `openssl x509 -text -noout -in hdsnode.pem`
3	Use um editor de texto para criar um arquivo de pacote de certificados chamado `hdsnode-bundle.pem`. O arquivo de pacote deve incluir o certificado do servidor, quaisquer certificados de CA intermediários e os certificados de CA raiz, no formato abaixo: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Crie o arquivo . p12 com o nome amigável `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verifique os detalhes do certificado do servidor. `openssl pkcs12 -in hdsnode.p12` Digite uma senha no prompt para criptografar a chave privada para que ela seja listada na saída. Em seguida, verifique se a chave privada e o primeiro certificado incluem as linhas `friendlyName: kms-private-key`. Exemplo: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

O que fazer em seguida

Retornar para Concluir os pré-requisitos para segurança de dados híbridos. Você usará o arquivo hdsnode.p12 e a senha que definiu para ele em Criar um ISO de configuração para os hosts HDS.

Você pode reutilizar esses arquivos para solicitar um novo certificado quando o certificado original expirar.

Tráfego entre os nós do HDS e a nuvem

Tráfego de coleta de métricas de saída

Os nós de segurança de dados híbridos enviam determinadas métricas para a nuvem Webex. Elas incluem métricas do sistema para heap máximo, heap usado, carga da CPU e contagem de threads; métricas sobre threads síncronos e assíncronos; métricas sobre alertas envolvendo um limite de conexões de criptografia, latência ou um comprimento de fila de solicitações; métricas sobre o armazenamento de dados; e métricas de conexão de criptografia. Os nós enviam material de chave criptografado por um canal fora de banda (separado da solicitação).

Tráfego de entrada

Os nós de segurança de dados híbridos recebem os seguintes tipos de tráfego de entrada da nuvem Webex:

Solicitações de criptografia de clientes, que são roteadas pelo serviço de criptografia
Atualizações do software do nó

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Os proxies Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket (wss:) exigidas pelo Hybrid Data Security. Estas seções fornecem orientações sobre como configurar várias versões do Squid para ignorar o tráfego wss: para a operação adequada dos serviços.

Squid 4 e 5

Adicione a diretiva on_unsupported_protocol a squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Testamos com sucesso a Segurança de Dados Híbridos com as seguintes regras adicionadas a squid.conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Obrigado pelos seus comentários.

Guia de implantação para segurança de dados híbrida multilocatário (HDS) (Beta)

Informações novas e alteradas

Informações novas e alteradas

Desativar segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação HDS de vários locatários

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Como a segurança de dados híbridos multilocatários fornece soberania de dados e controle de dados

Funções na segurança de dados híbridos multilocatários

Arquitetura de espaço de segurança

Colaboração com outras organizações

Expectativas para implantar a segurança de dados híbridos

Processo de configuração de alto nível

Modelo de implantação de segurança de dados híbridos

Data center de espera para recuperação de desastres

Suporte a proxy

Exemplo de um proxy e nós de segurança de dados híbridos

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Preparar seu ambiente

Requisitos para segurança de dados híbridos multilocatários

Requisitos de licença do Cisco Webex

Requisitos da área de trabalho do Docker

Requisitos do certificado X.509

Requisitos do organizador virtual

Requisitos do servidor de banco de dados

Requisitos adicionais para autenticação do Windows em relação ao Microsoft SQL Server

Requisitos de conectividade externa

Requisitos do servidor proxy

Conclua os pré-requisitos para a segurança de dados híbridos

Configurar um grupo de Segurança de dados híbridos

Fluxo de tarefas de implantação de segurança de dados híbridos

Executar a configuração inicial e baixar arquivos de instalação

Criar uma ISO de configuração para os organizadores HDS

Instalar o OVA do organizador HDS

Configurar a VM de segurança de dados híbridos

Carregar e montar o ISO de configuração HDS

Configurar o nó HDS para integração de proxy

Registrar o primeiro nó no cluster

Criar e registrar mais nós

Gerenciar organizações de locatários na segurança de dados híbridos de vários locatários

Ativar HDS multilocatários no Hub de parceiros

Adicionar organizações de locatários no Partner Hub

Criar teclas principais do cliente (CMKs) usando a ferramenta de configuração HDS

Remover organizações de locatário

Revogue CMKs de locatários removidos do HDS.

Teste a implantação de Segurança de dados híbridos

Teste a implantação de segurança de dados híbridos

Monitorar a integridade da segurança de dados híbridos

Gerencie sua implantação HDS

Gerenciar implantação HDS

Definir agenda de atualização do grupo

Alterar a configuração do nó

Desligar o modo de resolução DNS externo bloqueado

Remover um nó

Recuperação de desastres usando o Centro de dados de espera

(Opcional) Desmontar ISO após a configuração HDS

Solucionar problemas de segurança de dados híbridos

Exibir alertas e solução de problemas

Alertas

Solucionar problemas de segurança de dados híbridos

Outras notas

Problemas conhecidos de segurança de dados híbridos

Use o OpenSSL para gerar um arquivo PKCS12

Tráfego entre os nós HDS e a nuvem

Tráfego de coleta de métricas de saída

Tráfego De Entrada

Configurar proxies squid para segurança de dados híbridos

WebSocket não pode se conectar através do proxy Squid

Informações novas e alteradas

Informações novas e alteradas

Desativar segurança de dados híbridos de vários locatários

Fluxo de tarefas de desativação HDS de vários locatários

Introdução à segurança de dados híbridos multilocatários

Visão geral da segurança de dados híbridos de vários locatários

Como a segurança de dados híbridos multilocatários fornece soberania de dados e controle de dados

Funções na segurança de dados híbridos multilocatários

Arquitetura de domínio de segurança

Colaborando com outras organizações

Expectativas para implantação da segurança de dados híbridos