El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe Cisco Customer Experience (CX) Cloud Agent.
El agente en la nube CX se ejecuta como máquina virtual (VM) y está disponible para su descarga como dispositivo virtual abierto (OVA) o disco duro virtual (VHD).
Requisitos para la implementación:
El agente en la nube de Cisco (CX) es una plataforma muy escalable que recopila datos de telemetría de los dispositivos de red del cliente para ofrecer información práctica a los clientes. CX Cloud Agent permite la transformación de inteligencia artificial (IA)/aprendizaje automatizado (ML) de datos de configuración activos en ejecución en información proactiva y predictiva que se muestra en CX Cloud.
Esta guía es específica para CX Cloud Agent v2.2 y versiones posteriores. Consulte la página Cisco CX Cloud Agent para acceder a las versiones anteriores.
Nota: las imágenes (y el contenido de la misma) de esta guía se ofrecen únicamente a modo de referencia. El contenido real puede variar.
Para iniciar la transición a la nube de CX, los usuarios necesitan acceder a estos dominios. Utilice sólo los nombres de host proporcionados; no utilice direcciones IP estáticas.
Dominios principales |
Otros dominios |
cisco.com |
mixpanel.com |
cisco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
AMÉRICA |
EMEA |
Asia Pacífico, Japón y China |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.cisco.cloud |
agent.apjc.cisco.cloud |
ng.acs.agent.emea.cisco.cloud |
ng.acs.agent.apjc.cisco.cloud |
Nota: El acceso saliente debe estar permitido con la redirección habilitada en el puerto 443 para el FQDN especificado.
Las versiones de Cisco DNA Center de un solo nodo y clúster HA compatibles son 2.1.2.x a 2.2.3.x, 2.3.3.x, 2.3.5.x y Cisco Catalyst Center Virtual Appliance y Cisco DNA Center Virtual Appliance.
Para disfrutar de la mejor experiencia en Cisco.com, se recomienda la última versión oficial de estos navegadores:
Para ver la lista de productos admitidos por CX Cloud Agent, consulte la Lista de productos admitidos.
Para conectar orígenes de datos:
Configuración de CX Cloud Agent
Adición de Cisco DNA Center como origen de datos
Adición de otros recursos como orígenes de datos
Nota: La opción Otros activos sólo está disponible si la conectividad de dispositivo directo no se ha configurado previamente.
La configuración del agente en la nube de CX se solicita al conectar orígenes de datos si no se ha completado previamente.
Para configurar CX Cloud Agent:
Es necesario conectar CX Cloud Agent a CX Cloud para que comience la recopilación de telemetría, de modo que la información de la interfaz de usuario se pueda actualizar para mostrar los recursos y la información actuales. En esta sección se proporcionan detalles para completar las directrices de conexión y solución de problemas.
Para conectar CX Cloud Agent a CX Cloud:
Nota: El código de vinculación se recibe después de la implementación del archivo OVA descargado.
Cuando se selecciona Cisco DNA Center en la ventana de conexión de orígenes de datos (consulte Conexión de la imagen de orígenes de datos en la sección Conexión de orígenes de datos), se abre esta ventana:
Para agregar Cisco DNA Center como origen de datos:
Nota: No utilice una IP de nodo de cluster individual.
Nota: La primera recopilación de inventario puede tardar hasta 75 minutos.
La recopilación de telemetría se ha ampliado a dispositivos no gestionados por el Cisco DNA Center, lo que permite a los clientes ver e interactuar con análisis e información derivada de la telemetría para una gama más amplia de dispositivos. Después de la configuración inicial del agente en la nube de CX, los usuarios tienen la opción de configurar el agente en la nube de CX para conectarse a 20 Cisco DNA Centers adicionales dentro de la infraestructura supervisada por CX Cloud. Los usuarios también pueden conectar CX Cloud Agent directamente a otros recursos de hardware de su entorno, hasta 10 000 dispositivos conectados directamente.
Los usuarios pueden identificar los dispositivos que se incorporarán a CX Cloud identificándolos de forma única mediante un archivo simiente o especificando un rango de IP, que CX Cloud Agent puede analizar. Ambos enfoques se basan en el protocolo simple de administración de red (SNMP) para la detección (SNMP) y en Secure Shell (SSH) para la conectividad. Deben configurarse correctamente para habilitar la recopilación de telemetría correcta.
Nota:
Se puede utilizar el archivo simiente o el rango de IP. No es posible cambiar esta selección después de la configuración inicial.
Nota:
Un archivo simiente inicial se puede reemplazar por otro mientras que un rango de IP inicial se puede editar a un nuevo rango de IP.
Cuando se selecciona Otros Activos en la ventana de conexión de orígenes de datos, se abre esta ventana:
Para agregar otros activos como orígenes de datos:
Tanto la detección directa de dispositivos basada en archivos simientes como la detección basada en rangos de IP se basan en SNMP como protocolo de detección. Existen diferentes versiones de SNMP, pero CX Cloud Agent es compatible con SNMPV2c y SNMP V3 y se pueden configurar una o ambas versiones. El usuario debe proporcionar la misma información, descrita a continuación con todo detalle, para completar la configuración y habilitar la conectividad entre el dispositivo administrado por SNMP y el administrador de servicio SNMP.
SNMPV2c y SNMPV3 difieren en términos de seguridad y modelo de configuración remota. SNMPV3 utiliza un sistema de seguridad criptográfica mejorado que admite el cifrado SHA para autenticar los mensajes y garantizar su privacidad. Se recomienda que SNMPv3 se utilice en todas las redes públicas y de Internet para protegerse de los riesgos y amenazas de seguridad. En CX Cloud, es preferible que SNMPv3 esté configurado y no SNMPv2c, excepto para dispositivos antiguos que no son compatibles con SNMPv3. Si el usuario configura ambas versiones de SNMP, CX Cloud Agent puede, de forma predeterminada, intentar comunicarse con cada dispositivo respectivo mediante SNMPv3 y volver a SNMPv2c si la comunicación no se puede negociar correctamente.
Como parte de la configuración de la conectividad directa del dispositivo, los usuarios deben especificar los detalles del protocolo de conectividad del dispositivo: SSH (o, alternativamente, telnet). Se puede utilizar SSHv2, excepto en los casos de recursos heredados individuales que carecen de la compatibilidad integrada adecuada. Tenga en cuenta que el protocolo SSHv1 contiene vulnerabilidades fundamentales. A falta de seguridad adicional, los datos de telemetría y los activos subyacentes pueden verse comprometidos debido a estas vulnerabilidades cuando se confía en SSHv1. Telnet también es inseguro. La información de credenciales (nombres de usuario y contraseñas) que se envía a través de telnet no está cifrada y, por lo tanto, es vulnerable a peligros, sin seguridad adicional.
Acerca del archivo simiente
Un archivo simiente es un archivo de valores separados por comas (csv) donde cada línea representa un registro de datos del sistema. En un archivo simiente, cada registro de archivo simiente corresponde a un dispositivo único desde el cual CX Cloud Agent puede recopilar la telemetría. Todos los mensajes de error o de información para cada entrada de dispositivo del archivo simiente que se está importando se capturan como parte de los detalles del registro de trabajos. Todos los dispositivos de un archivo simiente se consideran dispositivos administrados, incluso si no se puede acceder a ellos en el momento de la configuración inicial. En caso de que se cargue un nuevo archivo simiente para sustituir al anterior, se mostrará la fecha de la última carga en CX Cloud.
El agente en la nube de CX puede intentar conectarse a los dispositivos, pero no puede procesar cada uno de ellos para mostrarlos en las páginas de recursos en los casos en los que no puede determinar los PID o los números de serie. Se ignora cualquier fila del archivo simiente que comience con un punto y coma. La fila de encabezado del archivo simiente comienza con un punto y coma y se puede mantener tal cual (opción recomendada) o eliminarse mientras se crea el archivo simiente del cliente.
Es importante que el formato del archivo simiente de ejemplo, incluidos los encabezados de columna, no se modifique en modo alguno. Haga clic en el enlace proporcionado para ver un archivo simiente en formato PDF. Este PDF es sólo de referencia y se puede utilizar para crear un archivo simiente que debe guardarse en formato .csv.
Haga clic en este enlace para ver un archivo simiente que se puede utilizar para crear un archivo simiente en formato .csv.
Nota: Este PDF es sólo de referencia y se puede utilizar para crear un archivo simiente que debe guardarse en formato .csv.
Esta tabla identifica todas las columnas de archivos simientes necesarias y los datos que deben incluirse en cada columna.
Columna de archivo simiente |
Encabezado/identificador de columna |
Objetivo de la columna |
R |
Dirección IP o nombre de host |
Proporcione una dirección IP o nombre de host válidos y únicos para el dispositivo. |
B |
versión del protocolo SNMP |
El agente en la nube CX requiere el protocolo SNMP, que se utiliza para la detección de dispositivos en la red del cliente. Los valores pueden ser snmpv2c o snmpv3, pero se recomienda snmpv3 debido a consideraciones de seguridad. |
C |
snmpRo: Obligatorio si col#=3 se selecciona como 'snmpv2c' |
Si se selecciona la variante heredada de SNMPv2 para un dispositivo específico, se deben especificar las credenciales snmpRO (de solo lectura) para la recopilación SNMP del dispositivo. De lo contrario, la entrada puede estar en blanco. |
D |
snmpv3UserName: Obligatorio si col#=3 se selecciona como 'snmpv3' |
Si se selecciona SNMPv3 para comunicarse con un dispositivo específico, se debe proporcionar el nombre de usuario de inicio de sesión correspondiente. |
E |
snmpv3AuthAlgorithm: los valores pueden ser MD5 o SHA |
El protocolo SNMPv3 permite la autenticación a través del algoritmo MD5 o SHA. Si el dispositivo está configurado con autenticación segura, se debe proporcionar el algoritmo de autenticación respectivo. Nota: MD5 se considera inseguro y SHA se puede utilizar en todos los dispositivos que lo admitan. |
F |
snmpv3AuthPassword: password |
Si se configura un algoritmo criptográfico MD5 o SHA en el dispositivo, se debe proporcionar la contraseña de autenticación relevante para el acceso del dispositivo. |
G |
snmpv3PrivAlgorithm: los valores pueden ser DES , 3DES |
Si el dispositivo se configura con el algoritmo de privacidad SNMPv3 (este algoritmo se utiliza para cifrar la respuesta), se debe proporcionar el algoritmo respectivo. Nota: las claves de 56 bits utilizadas por DES se consideran demasiado cortas para proporcionar seguridad criptográfica y 3DES se puede utilizar en todos los dispositivos que la admitan. |
H |
snmpv3PrivPassword: password |
Si el algoritmo de privacidad SNMPv3 está configurado en el dispositivo, se debe proporcionar su contraseña de privacidad respectiva para la conexión del dispositivo. |
I |
snmpv3EngineId: engineID, ID único que representa el dispositivo, especifique el ID del motor si está configurado manualmente en el dispositivo |
El EngineID de SNMPv3 es un ID único que representa cada dispositivo. Este ID de motor se envía como referencia mientras CX Cloud Agent recopila los conjuntos de datos SNMP. Si el cliente configura el EngineID manualmente, se debe proporcionar el EngineID respectivo. |
J |
cliProtocol: los valores pueden ser 'telnet', 'sshv1', 'sshv2'. Si está vacío, se puede establecer como 'sshv2' de forma predeterminada |
La CLI está diseñada para interactuar directamente con el dispositivo. El agente en la nube de CX utiliza este protocolo para la recopilación de CLI de un dispositivo específico. Estos datos de recopilación de CLI se utilizan para los activos y otros informes de perspectivas en la nube de CX. Se recomienda SSHv2; a falta de otras medidas de seguridad de la red, los protocolos SSHv1 y Telnet no proporcionan una seguridad de transporte adecuada. |
K |
cliPort: número de puerto del protocolo CLI |
Si se selecciona cualquier protocolo CLI, se debe proporcionar su número de puerto respectivo. Por ejemplo, 22 para SSH y 23 para telnet. |
L |
cliUser: Nombre de usuario de CLI (se puede proporcionar nombre de usuario/contraseña de CLI o BOTH, PERO ambas columnas (col#=12 y col#=13) no pueden estar vacías.) |
Se debe proporcionar el nombre de usuario de CLI correspondiente del dispositivo. El agente en la nube de CX lo utiliza en el momento de conectarse al dispositivo durante la recopilación de CLI. |
M |
cliPassword: contraseña de usuario de CLI (se puede proporcionar nombre de usuario/contraseña de CLI o BOTH, PERO ambas columnas (col#=12 y col#=13) no pueden estar vacías.) |
Se debe proporcionar la contraseña CLI correspondiente del dispositivo. El agente en la nube de CX lo utiliza en el momento de conectarse al dispositivo durante la recopilación de CLI. |
N |
cliEnableUser |
Si se configura enable en el dispositivo, se debe proporcionar el valor enableUsername del dispositivo. |
O |
cliEnablePassword |
Si se configura enable en el dispositivo, se debe proporcionar el valor enablePassword del dispositivo. |
P |
Asistencia futura (no se necesitan entradas) |
Reservado para futuro uso |
A |
Asistencia futura (no se necesitan entradas) |
Reservado para futuro uso |
R |
Asistencia futura (no se necesitan entradas) |
Reservado para futuro uso |
S |
Asistencia futura (no se necesitan entradas) |
Reservado para futuro uso |
Estas son las limitaciones al procesar datos de telemetría para dispositivos:
Para agregar dispositivos mediante un nuevo archivo simiente:
Nota: El enlace de la ventana Configurar conexión a la nube de CX ya no está disponible una vez que se ha descargado el archivo simiente inicial.
Para agregar, modificar o eliminar dispositivos mediante el archivo simiente actual:
Nota: Para añadir activos al archivo simiente, añada dichos activos al archivo simiente creado anteriormente y vuelva a cargar el archivo. Esto es necesario ya que cargar un nuevo archivo simiente reemplaza al actual. Para la detección y la recopilación, sólo se utiliza el último archivo simiente cargado.
Los rangos de IP permiten a los usuarios identificar los activos de hardware y, posteriormente, recopilar la telemetría de esos dispositivos en función de las direcciones IP. Los dispositivos para la recopilación de telemetría se pueden identificar de forma exclusiva mediante la especificación de un solo rango de IP de nivel de red, que CX Cloud Agent puede analizar mediante el protocolo SNMP. Si se elige el rango de IP para identificar un dispositivo conectado directamente, las direcciones IP a las que se hace referencia pueden ser lo más restrictivas posible, a la vez que se permite la cobertura para todos los recursos requeridos.
El agente en la nube de CX puede intentar conectarse a los dispositivos, pero no puede procesar cada uno para mostrarlo en la vista de recursos en los casos en los que no puede determinar las PID o los números de serie.
Notas:
Al hacer clic en Editar intervalo de direcciones IP se inicia la detección de dispositivos a petición. Cuando se agrega o elimina un nuevo dispositivo (dentro o fuera) a un rango de IP especificado, el cliente siempre debe hacer clic en Editar rango de direcciones IP (consulte la sección Edición de rangos de IP) y completar los pasos necesarios para iniciar la detección de dispositivos a demanda para incluir cualquier dispositivo recién agregado al inventario de recolección de agentes en la nube de CX.
Para agregar dispositivos mediante un intervalo IP, los usuarios deben especificar todas las credenciales aplicables a través de la interfaz de usuario de configuración. Los campos visibles varían en función de los protocolos seleccionados en las ventanas anteriores. Si se realizan varias selecciones para el mismo protocolo, por ejemplo, si se selecciona SNMPv2c y SNMPv3 o SSHv2 y SSHv1, CX Cloud Agent negocia automáticamente la selección del protocolo en función de las capacidades de cada dispositivo.
Al conectar dispositivos mediante direcciones IP, el cliente puede asegurarse de que todos los protocolos relevantes en el rango de IP junto con las versiones SSH y las credenciales Telnet sean válidos o que las conexiones puedan fallar.
Para agregar dispositivos mediante el intervalo IP:
Para editar un rango de IP;
Nota: El mensaje de confirmación no garantiza que se pueda acceder a los dispositivos del intervalo editado y que se hayan aceptado las credenciales.
Acerca de los dispositivos detectados desde varios controladores
Es posible que tanto el Cisco DNA Center como la conexión directa del dispositivo al agente en la nube de CX descubran algunos dispositivos, lo que provoca la recopilación de datos duplicados de dichos dispositivos. Para evitar la recopilación de datos duplicados y que un solo controlador gestione los dispositivos, es necesario determinar la prioridad para la que CX Cloud Agent gestiona los dispositivos.
Los clientes pueden programar análisis de diagnóstico a demanda en CX Cloud.
Nota: Cisco recomienda programar análisis de diagnóstico o iniciar análisis bajo demanda con un intervalo de al menos 6-7 horas entre las programaciones de recopilación de inventario para que no se solapen. La ejecución simultánea de varias exploraciones de diagnóstico puede ralentizar el proceso de exploración y, potencialmente, provocar errores de exploración.
Para programar análisis de diagnóstico:
Las exploraciones de diagnóstico y las programaciones de recopilación de inventario se pueden editar y eliminar desde la página Recopilación de datos.
Seleccione cualquiera de estas opciones para implementar el agente en la nube CX:
Este cliente permite la implementación de OVA del agente de nube CX mediante el cliente pesado vSphere.
La implementación puede tardar varios minutos. La confirmación se muestra tras la correcta implementación.
Este cliente implementa OVA de CX Cloud Agent mediante la Web de vSphere.
Siga estos pasos:
Este cliente implementa OVA de agente de nube CX a través de Oracle Virtual Box.
Siga estos pasos:
Si se selecciona Auto Generate Password, copie la contraseña generada y guárdela para su uso futuro. Haga clic en Save Password y vaya al paso 4.
Nota: si no se puede llegar a los dominios correctamente, el cliente debe corregir la disponibilidad de los dominios realizando cambios en su firewall para asegurarse de que se puede acceder a los dominios. Haga clic en Check Again una vez que se resuelva el problema de disponibilidad de dominios.
Los usuarios también pueden generar un código de emparejamiento mediante las opciones de CLI.
Para generar un código de emparejamiento mediante CLI:
Las versiones compatibles de Cisco DNA Center son 2.1.2.0 a 2.2.3.5, 2.3.3.4 a 2.3.3.6, 2.3.5.0 y Cisco DNA Center Virtual Appliance
Para configurar el reenvío de Syslog a CX Cloud Agent en el Cisco DNA Center, siga estos pasos:
Notas:
Una vez configurados, todos los dispositivos asociados con ese sitio se configuran para enviar syslog con nivel crítico a CX Cloud Agent. Los dispositivos deben estar asociados a un sitio para habilitar el reenvío de syslog desde el dispositivo a CX Cloud Agent. Cuando se actualiza una configuración del servidor syslog, todos los dispositivos asociados con ese sitio se establecen automáticamente en el nivel crítico predeterminado.
Los dispositivos deben configurarse para enviar mensajes de Syslog al agente en la nube de CX para utilizar la función de gestión de fallos de la nube de CX.
Nota: solo los dispositivos Campus Success Track Level 2 pueden configurar otros recursos para reenviar el registro del sistema.
Realice las instrucciones de configuración del software del servidor syslog y agregue la dirección IP del agente en la nube CX como nuevo destino.
Nota: Al reenviar registros del sistema, asegúrese de que se conserve la dirección IP de origen del mensaje original de registro del sistema.
Configure cada dispositivo para enviar registros del sistema directamente a la dirección IP del agente en la nube CX. Consulte esta documentación para conocer los pasos de configuración específicos.
Guía de configuración de Cisco IOS® XE
Guía de configuración del controlador inalámbrico AireOS
Para hacer visible el nivel de información de Syslog, siga estos pasos:
Seleccione el sitio necesario y seleccione todos los dispositivos mediante la casilla de verificación Device name.
Se recomienda conservar el estado y los datos de una VM del agente en la nube CX en un momento específico mediante la función de instantánea. Esta función facilita la restauración de la VM en la nube de CX en el momento específico en que se realiza la instantánea.
Para realizar una copia de seguridad de la VM en la nube CX:
Nota: compruebe que la casilla de verificación Instantánea de la memoria de la máquina virtual está desactivada.
3. Haga clic en Aceptar. El estado Crear instantánea de máquina virtual se muestra como Completado en la lista Tareas recientes.
Para restaurar la VM en la nube de CX:
CX Cloud Agent garantiza al cliente una seguridad de extremo a extremo. La conexión entre CX Cloud y CX Cloud Agent está protegida con TLS. El usuario SSH predeterminado del Cloud Agent está limitado a realizar solo operaciones básicas.
Implemente la imagen OVA del agente de nube CX en una empresa de servidores VMware seguros. El OVA se comparte de forma segura a través del centro de descargas de software de Cisco. La contraseña del cargador de arranque (modo de usuario único) se establece con una contraseña aleatoria única. Los usuarios deben consultar esta FAQ para configurar esta contraseña del cargador de arranque (modo de usuario único).
Durante la implementación, se crea la cuenta de usuario cxcadmin. Los usuarios se ven obligados a establecer una contraseña durante la configuración inicial. Las credenciales/usuario cxcadmin se utilizan para acceder a las API del agente en la nube CX y para conectarse al dispositivo a través de SSH.
los usuarios de cxcadmin tienen acceso restringido con los menos privilegios. La contraseña de cxcadmin sigue la política de seguridad y es un hash unidireccional con un período de vencimiento de 90 días. los usuarios de cxcadmin pueden crear un usuario de cxcroot mediante la utilidad denominada remoteaccount. los usuarios de cxcadmin pueden obtener privilegios de root.
Se puede acceder a la máquina virtual del agente en la nube CX mediante SSH con credenciales de usuario cxcadmin. Los puertos entrantes están restringidos a 22 (SSH), 514 (Syslog).
Autenticación basada en contraseña: el dispositivo mantiene un único usuario (cxcadmin) que permite al usuario autenticarse y comunicarse con el agente en la nube de CX.
los usuarios de cxcadmin pueden crear un usuario de cxcroot mediante una utilidad denominada remoteaccount. Esta utilidad muestra una contraseña cifrada RSA/ECB/PKCS1v1_5 que sólo se puede descifrar desde el portal SWIM (Formulario de solicitud de descifrado). Solo el personal autorizado tiene acceso a este portal. Los usuarios de cxcroot pueden obtener privilegios de root usando esta contraseña descifrada. La frase de paso es válida sólo durante dos días. los usuarios de cxcadmin deben volver a crear la cuenta y obtener la contraseña del portal SWIM después de que caduque la contraseña.
El dispositivo CX Cloud Agent cumple los estándares de consolidación del Center of Internet Security.
El dispositivo CX Cloud Agent no almacena información personal de los clientes. La aplicación de credenciales del dispositivo (que se ejecuta como uno de los dispositivos) almacena las credenciales cifradas del servidor en una base de datos segura. Los datos recopilados no se almacenan de ninguna forma dentro del dispositivo, excepto temporalmente cuando se procesan. Los datos de telemetría se cargan en CX Cloud tan pronto como sea posible después de que se haya completado la recopilación y se eliminan rápidamente del almacenamiento local después de que se confirme que la carga se ha realizado correctamente.
El paquete de registro contiene el certificado de dispositivo X.509 y las claves únicas necesarias para establecer una conexión segura con Iot Core. El uso de ese agente establece una conexión segura mediante Message Queue Server Telemetry Transport (MQTT) sobre Transport Layer Security (TLS) v1.2
Los registros no contienen ningún tipo de información personal identificable (PII). Los registros de auditoría capturan todas las acciones sensibles a la seguridad realizadas en el dispositivo CX Cloud Agent.
CX Cloud recupera la telemetría de recursos mediante las API y los comandos enumerados en los comandos de telemetría de Cisco. Este documento clasifica los comandos en función de su aplicabilidad al inventario del centro de DNA de Cisco, al puente de diagnóstico, a la intersección, a las perspectivas de cumplimiento, a los fallos y a todas las demás fuentes de telemetría recopiladas por el agente en la nube de CX.
La información confidencial de la telemetría de activos se oculta antes de transmitirse a la nube. El agente en la nube de CX oculta los datos confidenciales de todos los recursos recopilados que envían telemetría directamente al agente en la nube de CX. Esto incluye contraseñas, claves, cadenas de comunidad, nombres de usuario, etc. Los controladores proporcionan enmascaramiento de datos para todos los recursos gestionados por el controlador antes de transferir esta información al agente en la nube de CX. En algunos casos, la telemetría de los recursos gestionados por el controlador puede seguir anonimizándose. Consulte la documentación de soporte del producto correspondiente para obtener más información sobre el anonimato de la telemetría (por ejemplo, la sección Anonimizar datos de la Guía del administrador de Cisco DNA Center).
Aunque la lista de comandos de telemetría no se puede personalizar y las reglas de enmascaramiento de datos no se pueden modificar, los clientes pueden controlar los accesos a la nube de CX de telemetría de los recursos especificando las fuentes de datos como se describe en la documentación de soporte del producto para dispositivos gestionados por el controlador o en la sección Conexión de fuentes de datos de este documento (para Otros recursos recopilados por CX Cloud Agent).
Funciones de seguridad |
Descripción |
Contraseña del cargador de arranque |
La contraseña del cargador de arranque (modo de usuario único) se establece con una contraseña aleatoria única. Los usuarios deben consultar FAQ para establecer su contraseña de cargador de arranque (modo de usuario único). |
Acceso de usuario |
SSH: · El acceso al dispositivo mediante el usuario cxcadmin requiere la creación de credenciales durante la instalación. · El acceso al dispositivo mediante el usuario cxcroot requiere que el personal autorizado descifre las credenciales mediante el portal SWIM. |
Cuentas de usuario |
· cxcadmin: cuenta de usuario predeterminada creada; el usuario puede ejecutar comandos de la aplicación Agente de nube CX usando cxcli y tiene menos privilegios en el dispositivo; el usuario cxcroot y su contraseña cifrada se generan usando cxcadmin user. cxcroot: cxcadmin puede crear este usuario mediante la utilidad remoteaccount; el usuario puede obtener privilegios de root con esta cuenta. |
cxcadmin password policy |
· La contraseña es unidireccional con SHA-256 y se almacena de forma segura. · Un mínimo de ocho (8) caracteres, que contengan tres de estas categorías: mayúsculas, minúsculas, números y caracteres especiales. |
cxcroot password policy |
· la contraseña cxcroot está encriptada RSA/ECB/PKCS1v1_5 · La frase de contraseña generada debe descifrarse en el portal SWIM. · El usuario cxcroot y la contraseña son válidos durante dos días y se pueden regenerar usando cxcadmin user. |
ssh login password policy |
· Un mínimo de ocho caracteres que contenga tres de estas categorías: mayúsculas, minúsculas, números y caracteres especiales. · Cinco intentos de inicio de sesión fallidos bloquean el equipo durante 30 minutos; la contraseña caduca en 90 días. |
Puertos |
Puertos entrantes abiertos: 514 (Syslog) y 22 (SSH) |
Seguridad de datos |
· No se almacena información del cliente. · No se almacenan datos del Equipo. · Credenciales de servidor de Cisco DNA Center cifradas y almacenadas en la base de datos. |
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
26-Jun-2024 |
Versión inicial |