Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit l'agent cloud Cisco Customer Experience (CX).
L’agent CX Cloud fonctionne comme une machine virtuelle (VM) et peut être téléchargé en tant qu’appliance virtuelle ouverte (OVA) ou disque dur virtuel (VHD).
Exigences de déploiement :
Cisco (CX) Cloud Agent est une plate-forme hautement évolutive qui collecte des données de télémétrie à partir des périphériques réseau des clients afin de fournir des informations exploitables aux clients. CX Cloud Agent permet la transformation de l'intelligence artificielle (IA)/apprentissage automatique (ML) des données de configuration en cours en informations proactives et prédictives affichées dans CX Cloud.
Ce guide est spécifique à CX Cloud Agent v2.2 et ultérieures. Reportez-vous à la page Cisco CX Cloud Agent pour accéder aux versions antérieures.
Remarque : les images (et leur contenu) de ce guide sont fournies à titre de référence uniquement. Le contenu réel peut varier.
Pour démarrer le parcours vers le cloud CX, les utilisateurs doivent avoir accès à ces domaines. Utilisez uniquement les noms d’hôte fournis ; n’utilisez pas d’adresses IP statiques.
Principaux domaines |
Autres domaines |
cisco.com |
mixpanel.com |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
AMÉRIQUE |
EMEA |
APJC |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
Remarque : l'accès sortant doit être autorisé avec la redirection activée sur le port 443 pour les noms de domaine complets spécifiés.
Les versions 2.1.2.x à 2.2.3.x, 2.1.2.x, 2.3.3.x, 2.3.5.x, Cisco Catalyst Center Virtual Appliance et Cisco DNA Center Virtual Appliance sont prises en charge pour les noeuds uniques et les clusters haute disponibilité Cisco DNA Center.
Pour une expérience optimale sur Cisco.com, la dernière version officielle de ces navigateurs est recommandée :
Pour afficher la liste des produits pris en charge par CX Cloud Agent, reportez-vous à la Liste des produits pris en charge.
Pour connecter des sources de données :
Configuration de CX Cloud Agent
Ajout de Cisco DNA Center comme source de données
Ajout d'autres ressources comme sources de données
Remarque : l'option Autres ressources n'est disponible que si la connectivité des périphériques directs n'a pas été configurée précédemment.
La configuration de CX Cloud Agent est demandée lors de la connexion de sources de données si elle n'a pas déjà été effectuée.
Pour configurer CX Cloud Agent :
La connexion de CX Cloud Agent à CX Cloud est nécessaire pour que la collecte de données télémétriques puisse commencer, afin que les informations de l'interface utilisateur puissent être mises à jour pour afficher les ressources et les informations actuelles. Cette section fournit des détails pour compléter les directives de connexion et de dépannage.
Pour connecter CX Cloud Agent à CX Cloud :
Remarque : le code d'appariement est reçu après le déploiement du fichier OVA téléchargé.
Lorsque Cisco DNA Center est sélectionné dans la fenêtre de connexion des sources de données (reportez-vous à l'image Connecter les sources de données dans la section Connexion des sources de données), cette fenêtre s'ouvre :
Pour ajouter Cisco DNA Center en tant que source de données :
Remarque : n'utilisez pas une adresse IP de noeud de cluster individuelle.
Remarque : la première collecte d'inventaire peut prendre jusqu'à 75 minutes.
La collecte de données télémétriques a été étendue aux périphériques non gérés par Cisco DNA Center, ce qui permet aux clients d'afficher et d'interagir avec des données et des analyses issues de la télémétrie pour un plus large éventail de périphériques. Après la configuration initiale de CX Cloud Agent, les utilisateurs ont la possibilité de configurer CX Cloud Agent pour se connecter à 20 centres Cisco DNA supplémentaires au sein de l'infrastructure surveillée par CX Cloud. Les utilisateurs peuvent également connecter CX Cloud Agent directement à d'autres ressources matérielles de leur environnement, jusqu'à 10 000 périphériques connectés directement.
Les utilisateurs peuvent identifier les périphériques à intégrer dans CX Cloud en les identifiant de manière unique à l'aide d'un fichier d'amorçage ou en spécifiant une plage d'adresses IP, qui peut être analysée par CX Cloud Agent. Les deux approches reposent sur le protocole SNMP (Simple Network Management Protocol) pour la détection (SNMP) et sur SSH (Secure Shell) pour la connectivité. Ils doivent être correctement configurés pour permettre une collecte télémétrique réussie.
Remarque :
Vous pouvez utiliser le fichier d'amorce ou la plage IP. Il n'est pas possible de modifier cette sélection après la configuration initiale.
Remarque :
Un fichier d'amorçage initial peut être remplacé par un autre fichier d'amorçage, tandis qu'une plage IP initiale peut être modifiée en une nouvelle plage IP.
Lorsque Autres immobilisations est sélectionné dans la fenêtre de connexion des sources de données, cette fenêtre s'ouvre :
Pour ajouter d'autres ressources en tant que sources de données :
La détection directe des périphériques basée sur des fichiers d'amorce et la détection basée sur la plage d'adresses IP utilisent SNMP comme protocole de détection. Il existe différentes versions de SNMP, mais CX Cloud Agent prend en charge SNMP2c et SNMP V3 et l'une ou les deux versions peuvent être configurées. Les mêmes informations, décrites ensuite en détail, doivent être fournies par l'utilisateur pour terminer la configuration et activer la connectivité entre le périphérique géré par SNMP et le gestionnaire de service SNMP.
SNMPV2c et SNMPV3 diffèrent en termes de sécurité et de modèle de configuration à distance. SNMPV3 utilise un système de sécurité cryptographique amélioré prenant en charge le cryptage SHA pour authentifier les messages et garantir leur confidentialité. Il est recommandé d'utiliser SNMPv3 sur tous les réseaux publics et Internet afin de se protéger contre les risques et les menaces de sécurité. Sur CX Cloud, il est préférable que SNMPv3 soit configuré et non SNMPv2c, à l'exception des périphériques hérités plus anciens qui ne prennent pas en charge SNMPv3. Si les deux versions de SNMP sont configurées par l'utilisateur, CX Cloud Agent peut, par défaut, tenter de communiquer avec chaque périphérique respectif à l'aide de SNMPv3 et revenir à SNMPv2c si la communication ne peut pas être négociée avec succès.
Dans le cadre de la configuration de la connectivité directe des périphériques, les utilisateurs doivent spécifier les détails du protocole de connectivité des périphériques : SSH (ou Telnet). SSHv2 peut être utilisé, sauf dans le cas de ressources héritées individuelles qui ne disposent pas de la prise en charge intégrée appropriée. Sachez que le protocole SSHv1 présente des vulnérabilités fondamentales. En l'absence de sécurité supplémentaire, les données de télémétrie et les ressources sous-jacentes peuvent être compromises en raison de ces vulnérabilités lors de l'utilisation de SSHv1. Telnet n’est pas non plus sécurisé. Les informations d'identification (noms d'utilisateur et mots de passe) envoyées via Telnet ne sont pas chiffrées et sont donc vulnérables aux compromissions, en l'absence d'une sécurité supplémentaire.
À propos du fichier de démarrage
Un fichier d'amorçage est un fichier de valeurs séparées par des virgules (csv) dans lequel chaque ligne représente un enregistrement de données système. Dans un fichier d'amorçage, chaque enregistrement de fichier d'amorçage correspond à un périphérique unique à partir duquel la télémétrie peut être collectée par CX Cloud Agent. Tous les messages d'erreur ou d'information pour chaque entrée de périphérique du fichier de départ importé sont capturés dans les détails du journal des travaux. Tous les périphériques d'un fichier d'amorçage sont considérés comme des périphériques gérés, même s'ils sont inaccessibles au moment de la configuration initiale. Dans le cas où un nouveau fichier d'amorce est téléchargé pour remplacer un précédent, la date du dernier téléchargement est affichée dans CX Cloud.
CX Cloud Agent peut tenter de se connecter aux périphériques, mais ne peut pas les traiter pour les afficher dans les pages Ressources dans les cas où il ne peut pas déterminer les PID ou les numéros de série.Toute ligne du fichier de départ commençant par un point-virgule est ignorée. La ligne d'en-tête du fichier d'amorce commence par un point-virgule et peut être conservée telle quelle (option recommandée) ou supprimée lors de la création du fichier d'amorce client.
Il est important que le format de l'exemple de fichier d'amorce, y compris les en-têtes de colonne, ne soit en aucune façon modifié. Cliquez sur le lien fourni pour afficher un fichier d'amorçage au format PDF. Ce fichier PDF est fourni à titre de référence uniquement et peut être utilisé pour créer un fichier de départ qui doit être enregistré au format .csv.
Cliquez sur ce lien pour afficher un fichier d'amorçage qui peut être utilisé pour créer un fichier d'amorçage au format .csv.
Remarque : ce fichier PDF est fourni à titre de référence uniquement et peut être utilisé pour créer un fichier d'amorçage qui doit être enregistré au format .csv.
Ce tableau identifie toutes les colonnes du fichier d'amorce nécessaires et les données qui doivent être incluses dans chaque colonne.
Colonne du fichier de démarrage |
En-tête / Identificateur de colonne |
Objet de la colonne |
A |
Adresse IP ou nom d'hôte |
Fournissez une adresse IP ou un nom d'hôte valide et unique pour le périphérique. |
B |
Version du protocole SNMP |
Le protocole SNMP est requis par CX Cloud Agent et est utilisé pour la détection des périphériques sur le réseau du client. Les valeurs peuvent être snmpv2c ou snmpv3, mais snmpv3 est recommandé pour des raisons de sécurité. |
C |
snmpRo : Obligatoire si col#=3 sélectionné comme 'snmpv2c' |
Si la variante héritée de SNMPv2 est sélectionnée pour un périphérique spécifique, alors les informations d'identification snmpRO (lecture seule) pour la collection SNMP du périphérique doivent être spécifiées. Sinon, l'entrée peut être vide. |
D |
snmpv3UserName : obligatoire si col#=3 est sélectionné comme 'snmpv3' |
Si SNMPv3 est sélectionné pour communiquer avec un périphérique spécifique, le nom d'utilisateur de connexion correspondant doit être fourni. |
E |
snmpv3AuthAlgorithm : les valeurs peuvent être MD5 ou SHA |
Le protocole SNMPv3 autorise l'authentification via l'algorithme MD5 ou SHA. Si le périphérique est configuré avec l'authentification sécurisée, l'algorithme d'authentification correspondant doit être fourni. Remarque : MD5 est considéré comme non sécurisé et SHA peut être utilisé sur tous les périphériques qui le prennent en charge. |
F |
snmpv3AuthPassword : mot de passe |
Si un algorithme de chiffrement MD5 ou SHA est configuré sur le périphérique, le mot de passe d'authentification approprié doit être fourni pour l'accès au périphérique. |
G |
snmpv3PrivAlgorithm : les valeurs peuvent être DES , 3DES |
Si le périphérique est configuré avec l'algorithme de confidentialité SNMPv3 (cet algorithme est utilisé pour chiffrer la réponse), l'algorithme correspondant doit être fourni. Remarque : les clés 56 bits utilisées par DES sont considérées comme trop courtes pour fournir une sécurité cryptographique, et 3DES peut être utilisé sur tous les périphériques qui le prennent en charge. |
H |
snmpv3PrivPassword : mot de passe |
Si l'algorithme de confidentialité SNMPv3 est configuré sur le périphérique, son mot de passe de confidentialité respectif doit être fourni pour la connexion du périphérique. |
I |
snmpv3EngineId : engineID, ID unique représentant le périphérique, spécifier l'ID du moteur si configuré manuellement sur le périphérique |
L'ID de moteur SNMPv3 est un ID unique représentant chaque périphérique. Cet ID de moteur est envoyé comme référence lors de la collecte des jeux de données SNMP par CX Cloud Agent. Si le client configure l'ID de moteur manuellement, alors l'ID de moteur respectif doit être fourni. |
J |
cliProtocol : les valeurs peuvent être 'telnet', 'sshv1', 'sshv2'. Si vide, peut être défini sur « sshv2 » par défaut |
L'interface de ligne de commande est conçue pour interagir directement avec le périphérique. CX Cloud Agent utilise ce protocole pour la collecte CLI d'un périphérique spécifique. Ces données de collecte CLI sont utilisées pour les rapports sur les ressources et autres informations dans le cloud CX. SSHv2 est recommandé ; en l’absence d’autres mesures de sécurité réseau, les protocoles SSHv1 et Telnet ne fournissent pas en eux-mêmes une sécurité de transport adéquate. |
K |
cliPort : numéro de port du protocole CLI |
Si un protocole CLI est sélectionné, son numéro de port respectif doit être fourni. Par exemple, 22 pour SSH et 23 pour Telnet. |
L |
cliUser : nom d'utilisateur CLI (le nom d'utilisateur/mot de passe CLI ou les DEUX peuvent être fournis, MAIS les deux colonnes (col#=12 et col#=13) ne peuvent pas être vides.) |
Le nom d'utilisateur CLI correspondant du périphérique doit être fourni. Il est utilisé par CX Cloud Agent au moment de la connexion au périphérique lors de la collecte CLI. |
L |
cliPassword : mot de passe utilisateur CLI (le nom d'utilisateur/mot de passe CLI ou les DEUX peuvent être fournis, MAIS les deux colonnes (col#=12 et col#=13) ne peuvent pas être vides.) |
Le mot de passe CLI correspondant du périphérique doit être fourni. Il est utilisé par CX Cloud Agent au moment de la connexion au périphérique lors de la collecte CLI. |
n |
cliEnableUser |
Si enable est configuré sur le périphérique, la valeur enableUsername du périphérique doit être fournie. |
O |
cliEnablePassword |
Si enable est configuré sur le périphérique, la valeur enablePassword du périphérique doit être fournie. |
P |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
Q |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
R |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
S |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
Il existe des limitations lors du traitement des données de télémétrie pour les périphériques :
Pour ajouter des périphériques à l'aide d'un nouveau fichier de départ :
Remarque : le lien de la fenêtre Configurer la connexion au cloud CX n'est plus disponible une fois le fichier d'amorçage initial téléchargé.
Pour ajouter, modifier ou supprimer des périphériques à l'aide du fichier de départ actuel :
Remarque : pour ajouter des ressources au fichier d'amorçage, ajoutez-les au fichier d'amorçage précédemment créé et rechargez le fichier. Cette opération est nécessaire car le téléchargement d'un nouveau fichier d'amorce remplace le fichier d'amorce actuel. Seul le dernier fichier de départ téléchargé est utilisé pour la détection et la collecte.
Les plages IP permettent aux utilisateurs d'identifier les ressources matérielles et, par la suite, de collecter des données télémétriques à partir de ces périphériques en fonction des adresses IP. Il est possible d'identifier de manière unique les périphériques de collecte télémétrique en spécifiant une plage IP unique au niveau du réseau, qui peut être analysée par CX Cloud Agent à l'aide du protocole SNMP. Si la plage IP est choisie pour identifier un périphérique connecté directement, les adresses IP référencées peuvent être aussi restrictives que possible, tout en permettant la couverture de toutes les ressources requises.
CX Cloud Agent peut tenter de se connecter aux périphériques mais ne peut pas traiter chacun d'eux pour les afficher dans la vue Ressources dans les cas où il ne peut pas déterminer les PID ou les numéros de série.
Remarques :
Cliquez sur Edit IP Address Range pour lancer la détection des périphériques à la demande. Lorsqu'un nouveau périphérique est ajouté ou supprimé (à l'intérieur ou à l'extérieur) d'une plage d'adresses IP spécifiée, le client doit toujours cliquer sur Modifier la plage d'adresses IP (reportez-vous à la section Modification des plages d'adresses IP) et effectuer les étapes requises pour lancer la détection de périphériques à la demande afin d'inclure tout périphérique nouvellement ajouté à l'inventaire de collecte de CX Cloud Agent.
L'ajout de périphériques à l'aide d'une plage IP nécessite que les utilisateurs spécifient toutes les informations d'identification applicables via l'interface de configuration. Les champs visibles varient en fonction des protocoles sélectionnés dans les fenêtres précédentes. Si plusieurs sélections sont effectuées pour le même protocole, par exemple, en sélectionnant SNMPv2c et SNMPv3 ou SSHv2 et SSHv1, CX Cloud Agent négocie automatiquement la sélection du protocole en fonction des capacités de chaque périphérique.
Lors de la connexion de périphériques à l'aide d'adresses IP, le client peut s'assurer que tous les protocoles pertinents dans la plage IP, ainsi que les versions SSH et les informations d'identification Telnet sont valides ou que les connexions peuvent échouer.
Pour ajouter des périphériques à l'aide de la plage IP :
Pour modifier une plage d'adresses IP ;
Remarque : le message de confirmation ne garantit pas que les périphériques de la plage modifiée sont accessibles et que les informations d'identification ont été acceptées.
À propos des périphériques détectés à partir de plusieurs contrôleurs
Il est possible que certains périphériques soient détectés par Cisco DNA Center et que la connexion directe des périphériques à CX Cloud Agent entraîne la collecte de données dupliquées à partir de ces périphériques. Pour éviter de collecter des données en double et d'avoir un seul contrôleur pour gérer les périphériques, il est nécessaire de déterminer une priorité pour laquelle CX Cloud Agent gère les périphériques.
Les clients peuvent planifier des analyses de diagnostic à la demande dans le cloud CX.
Remarque : Cisco recommande de planifier des analyses de diagnostic ou de lancer des analyses à la demande au moins 6 à 7 heures à l'écart des calendriers de collecte d'inventaire afin qu'elles ne se chevauchent pas. L'exécution simultanée de plusieurs analyses de diagnostic peut ralentir le processus d'analyse et entraîner des échecs d'analyse.
Pour planifier des analyses de diagnostic :
Les analyses de diagnostic et les planifications de collecte d'inventaire peuvent être modifiées et supprimées de la page Collecte de données.
Sélectionnez l'une des options suivantes pour déployer CX Cloud Agent :
Ce client permet le déploiement de CX Cloud Agent OVA en utilisant le client vSphere épais.
Le déploiement peut prendre plusieurs minutes. La confirmation s'affiche après un déploiement réussi.
Ce client déploie CX Cloud Agent OVA en utilisant le Web vSphere.
Effectuez les étapes suivantes :
Ce client déploie CX Cloud Agent OVA via Oracle Virtual Box.
Effectuez les étapes suivantes :
Si Auto Generate Password est sélectionné, copiez le mot de passe généré et stockez-le pour une utilisation ultérieure. Cliquez sur Save Password et passez à l’étape 4.
Remarque : si les domaines ne sont pas accessibles, le client doit corriger l'accessibilité des domaines en modifiant son pare-feu pour s'assurer que les domaines sont accessibles. Cliquez sur Check Again une fois que le problème d'accessibilité des domaines est résolu.
Les utilisateurs peuvent également générer un code de jumelage à l'aide des options CLI.
Pour générer un code de jumelage à l'aide de CLI :
Les versions 2.1.2.0 à 2.2.3.5, 2.3.3.4 à 2.3.3.6, 2.3.5.0 et Cisco DNA Center Virtual Appliance sont prises en charge par Cisco DNA Center
Pour configurer le transfert Syslog vers CX Cloud Agent dans Cisco DNA Center, procédez comme suit :
Remarques :
Une fois configurés, tous les périphériques associés à ce site sont configurés pour envoyer le journal système avec le niveau critique à CX Cloud Agent. Les périphériques doivent être associés à un site pour permettre le transfert syslog du périphérique vers CX Cloud Agent. Lorsqu'un paramètre du serveur Syslog est mis à jour, tous les périphériques associés à ce site sont automatiquement définis sur le niveau critique par défaut.
Les périphériques doivent être configurés pour envoyer des messages Syslog à CX Cloud Agent afin d'utiliser la fonctionnalité de gestion des pannes de CX Cloud.
Remarque : seuls les périphériques Campus Success Track de niveau 2 peuvent configurer d'autres ressources pour transférer Syslog.
Suivez les instructions de configuration du logiciel serveur syslog et ajoutez l'adresse IP de l'agent cloud CX comme nouvelle destination.
Remarque : lors du transfert de syslog, assurez-vous que l'adresse IP source du message syslog d'origine est conservée.
Configurez chaque périphérique pour qu'il envoie les syslogs directement à l'adresse IP de l'agent cloud CX. Reportez-vous à cette documentation pour connaître les étapes de configuration spécifiques.
Guide de configuration de Cisco IOS® XE
Guide de configuration du contrôleur sans fil AireOS
Pour rendre le niveau d'informations Syslog visible, procédez comme suit :
Sélectionnez le site requis et activez la case à cocher Device name pour tous les périphériques.
Il est recommandé de préserver l'état et les données d'une machine virtuelle CX Cloud Agent à un moment spécifique à l'aide de la fonction de snapshot. Cette fonction facilite la restauration de la VM du cloud CX à l'heure spécifique à laquelle le snapshot est pris.
Pour sauvegarder la machine virtuelle CX Cloud :
Remarque : vérifiez que la case à cocher Snapshot the virtual machine's memory (Instantané de la mémoire de la machine virtuelle) est désactivée.
3. Cliquez sur OK. L'état Créer un snapshot de machine virtuelle s'affiche comme Terminé dans la liste Tâches récentes.
Pour restaurer la machine virtuelle CX Cloud :
CX Cloud Agent garantit au client une sécurité de bout en bout. La connexion entre CX Cloud et CX Cloud Agent est sécurisée par TLS. L'utilisateur SSH par défaut de Cloud Agent est limité aux opérations de base.
Déployez l'image OVA de CX Cloud Agent dans une entreprise de serveurs VMware sécurisée. L’OVA est partagé en toute sécurité par l’intermédiaire du centre de téléchargement de logiciels Cisco. Le mot de passe du chargeur de démarrage (mode utilisateur unique) est défini avec un mot de passe unique au hasard. Les utilisateurs doivent se référer à cette FAQ pour définir ce mot de passe du chargeur de démarrage (mode mono-utilisateur).
Lors du déploiement, le compte utilisateur cxcadmin est créé. Les utilisateurs sont forcés de définir un mot de passe lors de la configuration initiale. Les informations d'identification et d'utilisateur cxcadmin sont utilisées pour accéder aux API de CX Cloud Agent et pour se connecter à l'appliance via SSH.
les utilisateurs cxcadmin ont un accès restreint avec les privilèges les plus bas. Le mot de passe cxcadmin suit la stratégie de sécurité et est haché à sens unique avec une période d'expiration de 90 jours. Les utilisateurs cxcadmin peuvent créer un utilisateur cxcroot à l'aide de l'utilitaire appelé remoteaccount. Les utilisateurs cxcroot peuvent obtenir des privilèges root.
La machine virtuelle CX Cloud Agent est accessible à l'aide de SSH avec les informations d'identification utilisateur cxcadmin. Les ports entrants sont limités à 22 (ssh) et à 514 (Syslog).
Authentification basée sur mot de passe : l'appliance gère un seul utilisateur (cxcadmin) qui permet à l'utilisateur de s'authentifier et de communiquer avec l'agent cloud CX.
les utilisateurs cxcadmin peuvent créer un utilisateur cxcroot à l'aide d'un utilitaire appelé remoteaccount. Cet utilitaire affiche un mot de passe chiffré RSA/ECB/PKCS1v1_5 qui ne peut être déchiffré qu'à partir du portail SWIM (formulaire de demande DECRYPT). Seul le personnel autorisé a accès à ce portail. Les utilisateurs cxcroot peuvent obtenir des privilèges root en utilisant ce mot de passe déchiffré. La phrase de passe n'est valide que pendant deux jours. Les utilisateurs de cxcadmin doivent recréer le compte et obtenir le mot de passe à partir du portail SWIM après expiration du mot de passe.
L'appliance CX Cloud Agent respecte les normes de renforcement du Centre de sécurité Internet.
L’appliance de l’agent CX Cloud ne stocke aucune information personnelle du client. L'application Device Credential (exécutée en tant que l'un des pods) stocke les informations d'identification chiffrées du serveur dans une base de données sécurisée. Les données collectées ne sont stockées sous aucune forme à l'intérieur de l'appareil, sauf temporairement lorsqu'elles sont en cours de traitement. Les données de télémétrie sont téléchargées sur le cloud CX dès que possible après la collecte et sont rapidement supprimées du stockage local après confirmation du succès du téléchargement.
Le package d'enregistrement contient le certificat et les clés du périphérique X.509 uniques requis pour établir une connexion sécurisée avec Iot Core. L'utilisation de cet agent permet d'établir une connexion sécurisée à l'aide de MQTT (Message Queuing Telemetry Transport) sur TLS (Transport Layer Security) v1.2
Les journaux ne contiennent aucune forme de données d'informations personnelles identifiables (PII). Les journaux d'audit capturent toutes les actions sensibles à la sécurité effectuées sur l'appliance CX Cloud Agent.
CX Cloud récupère la télémétrie des ressources à l'aide des API et des commandes répertoriées dans les commandes de télémétrie Cisco. Ce document classe les commandes en fonction de leur applicabilité à l'inventaire Cisco DNA Center, à Diagnostic Bridge, à Intersight, à Compliance Insights, à Faults et à toutes les autres sources de télémétrie collectées par CX Cloud Agent.
Les informations sensibles de la télémétrie des ressources sont masquées avant d'être transmises au cloud. CX Cloud Agent masque les données sensibles pour toutes les ressources collectées qui envoient des données de télémétrie directement à CX Cloud Agent. Cela inclut les mots de passe, les clés, les chaînes de communauté, les noms d'utilisateur, etc. Les contrôleurs fournissent un masquage des données pour toutes les ressources gérées par les contrôleurs avant de transférer ces informations à CX Cloud Agent. Dans certains cas, la télémétrie des ressources gérées par le contrôleur peut être rendue plus anonyme. Reportez-vous à la documentation d'assistance produit correspondante pour en savoir plus sur l'anonymisation de la télémétrie (par exemple, la section Anonymize Data du Guide de l'administrateur de Cisco DNA Center).
Bien que la liste des commandes de télémétrie ne puisse pas être personnalisée et que les règles de masquage des données ne puissent pas être modifiées, les clients peuvent contrôler les ressources auxquelles CX Cloud accède en spécifiant les sources de données, comme indiqué dans la documentation d'assistance produit pour les périphériques gérés par un contrôleur ou dans la section Connexions des sources de données de ce document (pour les autres ressources collectées par CX Cloud Agent).
Fonctions de sécurité |
Description |
Mot de passe du chargeur de démarrage |
Le mot de passe du chargeur de démarrage (mode utilisateur unique) est défini avec un mot de passe unique au hasard. Les utilisateurs doivent se référer à la FAQ pour définir son mot de passe du chargeur de démarrage (mode utilisateur unique). |
Accès utilisateur |
SSH : ·L’accès à l’appliance à l’aide de l’utilisateur cxcadmin nécessite des informations d’authentification créées lors de l’installation. · L'accès à l'appliance par l'utilisateur cxcroot nécessite que les identifiants soient décryptés par le personnel autorisé à l'aide du portail SWIM. |
Comptes utilisateurs |
· cxcadmin : compte d'utilisateur par défaut créé ; l'utilisateur peut exécuter les commandes de l'application CX Cloud Agent à l'aide de cxcli et dispose des privilèges les plus faibles sur l'appliance ; l'utilisateur cxcroot et son mot de passe chiffré sont générés à l'aide de cxcadmin user. · cxcroot : cxcadmin peut créer cet utilisateur à l'aide de l'utilitaire remoteaccount ; l'utilisateur peut obtenir des privilèges root avec ce compte. |
politique de mot de passe cxcadmin |
·Le mot de passe est haché de manière unidirectionnelle à l’aide de SHA-256 et stocké en toute sécurité. · Au moins huit (8) caractères, contenant trois de ces catégories : majuscules, minuscules, chiffres et caractères spéciaux. |
politique de mot de passe cxcroot |
·Le mot de passe cxcroot est chiffré RSA/ECB/PKCS1v1_5 ·La phrase secrète générée doit être déchiffrée dans le portail SWIM. · L'utilisateur et le mot de passe cxcroot sont valides pendant deux jours et peuvent être régénérés à l'aide de cxcadmin user. |
politique de mot de passe de connexion ssh |
· Au moins huit caractères qui contiennent trois de ces catégories : majuscules, minuscules, chiffres et caractères spéciaux. · Cinq tentatives de connexion infructueuses verrouillent la boîte pendant 30 minutes ; le mot de passe expire dans 90 jours. |
Ports |
Ports entrants ouverts – 514 (Syslog) et 22 (ssh) |
Sécurité des données |
·Aucune information client enregistrée. ·Aucune donnée de périphérique enregistrée. ·Les informations d’authentification du serveur du centre Cisco DNA sont chiffrées et stockées dans la base de données. |
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
26-Jun-2024 |
Première publication |