この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、シスコのカスタマーエクスペリエンス(CX)Cloud Agentについて説明します。 シスコのCX Cloud Agentは、お客様のネットワークデバイスからテレメトリデータを収集し、お客様に実用的な洞察を提供する、スケーラビリティの高いプラットフォームです。CX Cloud Agentを使用すると、アクティブな実行コンフィギュレーションデータを、CX Cloudに表示される予防的で予測的な洞察に変換できます。
このガイドは、CX Cloud Agent v2.4専用です。以前のバージョンにアクセスするには、『Cisco CX Cloud Agent』ページを参照してください。
注:このガイドの画像は参照用です。実際の内容は異なることがあります。
CX Cloud Agent は仮想マシン(VM)として実行され、オープン仮想アプライアンス(OVA)または仮想ディスク(VHD)としてダウンロードできます。
CX Cloud Agentの導入タイプ |
CPUコア数 |
RAM |
ハード ディスク |
* 直接資産の最大数 |
サポートされるハイパーバイザ |
小さいOVA |
8C |
16 GB |
200 GB |
10,000 |
VMware ESXi、Oracle VirtualBox、およびWindows Hyper-V |
中ぐらいのOVA |
16C |
32 GB |
600 GB |
20,000 |
VMware ESXi |
大きいOVA |
32C |
64 GB |
1200 GB |
50,000 : |
VMware ESXi |
* 各CX Cloud Agentインスタンスにつき、20のCisco Catalyst Center(Catalyst Center)非クラスタまたは10のCatalyst Centerクラスタを接続します。
CX Cloud ジャーニーを開始するには、次のドメインにアクセスする必要があります。指定されたホスト名のみを使用し、固定IPアドレスは使用しないでください。
主要ドメイン |
その他のドメイン |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
AMERICAS |
EMEA |
APJC |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud(クラウド) |
agent.us.csco.cloud(クラウド) |
agent.us.csco.cloud(クラウド) |
ng.acs.agent.us.csco.cloud(クラウド) |
エージェント.emea.csco.cloud |
エージェント.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注:指定したFQDNのポート443でリダイレクションを有効にして、発信アクセスを許可する必要があります。
サポートされるシングルノードおよびHAクラスタCatalyst Centerのバージョンは、2.1.2.x ~ 2.2.3.x、2.3.3.x、2.3.5.x、2.3.7.x、およびCatalyst Center仮想アプライアンスとCatalyst Center仮想アプライアンスです。
Cisco.comを快適にご利用いただくために、次のブラウザの最新の公式リリースをお勧めします。
CX Cloud Agentがサポートする製品のリストについては、『サポート対象製品リスト』を参照してください。
お客様は、ネットワークの規模と複雑さに基づいて、柔軟なOVAオプションを使用して、既存のVM構成を中規模または大規模にアップグレードできます。
既存のVM設定を小規模から中規模または大規模にアップグレードする方法については、「CX Cloud Agent VMの中規模および大規模設定へのアップグレード」のセクションを参照してください。
CX Cloud Agent v2.3.x以降を実行しているお客様は、このセクションの手順に従って、v2.4に直接アップグレードできます。
注:CX Cloud Agent v2.2.xをご使用のお客様は、v2.4にアップグレードする前にv2.3.xにアップグレードするか、v2.4を新規OVAインストールとしてインストールする必要があります。
CX CloudからCX Cloud Agentアップグレードv2.4をインストールするには、次の手順を実行します。
注:スケジュールのオプションを表示するInstall Nowチェックボックスをオフにすると、更新を後でスケジュールできます。
CX Cloudでは、CX Cloud Agentインスタンスを20個まで追加できます。
CX Cloud Agentを追加するには、次の手順を実行します。
注:データソースとしてCX Cloud Agentインスタンスを追加するには、次の手順を繰り返します。
注:CX Cloud Agentのセットアップを完了するために必要なペアリングコードは、OVAファイルの導入後に生成されます。
Catalyst Centerをデータソースとして追加するには、次の手順に従います。
注:今すぐコレクションを実行する場合は、[最初のコレクションを今すぐ実行する]チェックボックスをオンにします。
[Connect] をクリックします。CatalystセンターのIPアドレスを示す確認メッセージが表示されます。
テレメトリの収集は、Catalyst Centerで管理されていないデバイスにも拡張されたため、お客様は、テレメトリに由来する洞察や分析を表示し、より広範なデバイスと対話できます。CX Cloud Agentの初期セットアップ後、CX Cloudで監視されるインフラストラクチャ内の20の追加のCatalystセンターに接続するようにCX Cloud Agentを設定することもできます。
シードファイルを使用してデバイスを一意に識別するか、CX Cloud AgentがスキャンできるIP範囲を指定することで、CX Cloudに組み込むデバイスを識別できます。どちらのアプローチも、ディスカバリではSimple Network Management Protocol(SNMP)を使用し、接続ではSecure Shell(SSH)を使用します。これらを正しく設定して、テレメトリ収集を正常に行う必要があります。
他のアセットをデータソースとして追加するには:
シードファイルベースの直接デバイス検出とIP範囲ベースの検出の両方で、検出プロトコルとしてSNMPを使用します。SNMPにはさまざまなバージョンがありますが、CX Cloud AgentはSNMPV2cとSNMP V3をサポートし、いずれか、または両方のバージョンを設定できます。設定を完了し、SNMP管理対象デバイスとSNMPサービスマネージャ間の接続を有効にするには、同じ情報(次に詳細を説明)をユーザが入力する必要があります。
SNMPV2cとSNMPV3は、セキュリティとリモート設定モデルの点で異なります。SNMPV3では、SHA暗号化をサポートする高度な暗号化セキュリティシステムを使用して、メッセージを認証し、メッセージのプライバシーを保護します。SNMPv3は、セキュリティリスクと脅威から保護するために、すべてのパブリックおよびインターネット側のネットワークで使用することを推奨します。CX Cloudでは、SNMPv3のサポートが組み込まれていない古いレガシーデバイスを除き、SNMPv2cではなくSNMPv3を設定することをお勧めします。両方のバージョンのSNMPが設定されている場合、デフォルトでCX Cloud AgentはSNMPv3を使用して各デバイスとの通信を試み、通信が正常にネゴシエートされない場合はSNMPv2cに戻ります。
デバイスの直接接続のセットアップの一環として、ユーザはデバイス接続プロトコルの詳細を指定する必要があります。具体的には、SSH(またはtelnet)です。SSHv2は、適切な組み込みサポートを備えていない個別のレガシー資産の場合を除き、使用できます。SSHv1プロトコルには基本的な脆弱性が含まれることに注意してください。追加のセキュリティがなければ、SSHv1に依存する際に、これらの脆弱性が原因でテレメトリデータと基盤となる資産が侵害される可能性があります。Telnetも安全ではありません。Telnet経由で送信されるクレデンシャル情報(ユーザ名とパスワード)は暗号化されないため、セキュリティが強化されていないことから、セキュリティが侵害される危険性があります。
デバイスのテレメトリデータを処理する際の制限事項は次のとおりです。
シードファイルは.csvファイルで、各行はシステムデータレコードを表します。シードファイルでは、すべてのシードファイルレコードは、CX Cloud Agentがテレメトリを収集できる固有のデバイスに対応します。インポートされるシードファイルの各デバイスエントリのすべてのエラーメッセージまたは情報メッセージは、ジョブログの詳細の一部として取得されます。シードファイル内のすべてのデバイスは、初期設定時に到達不能であったとしても、管理対象デバイスと見なされます。新しいシードファイルをアップロードして以前のシードファイルと置き換える場合は、最後にアップロードした日付がCX Cloudに表示されます。
CX Cloud Agentはデバイスへの接続を試行できますが、PIDまたはシリアル番号を判別できない場合、Assetsページに表示するそれぞれのデバイスを処理できません。シードファイル内の、セミコロンで始まる行はすべて無視されます。シードファイルのヘッダー行はセミコロンで始まり、そのまま保持することも(推奨オプション)、顧客シードファイルの作成中に削除することもできます。
列ヘッダーを含むサンプルシードファイルの形式は、一切変更しないことが重要です。表示されたリンクをクリックして、PDF形式のシードファイルを表示します。このPDFは参照専用で、.csv形式で保存する必要があるシードファイルの作成に使用できます。
.csv形式のシードファイルの作成に使用できるシードファイルを表示するには、このリンクをクリックします。
注:このPDFは参照専用で、.csv形式で保存する必要があるシードファイルを作成するために使用できます。
この表は、必要なすべてのシード・ファイル列と、各列に含める必要のあるデータを示しています。
シードファイル列 |
列ヘッダー/識別子 |
カラムの目的 |
A |
IPアドレスまたはホスト名 |
デバイスの有効な一意のIPアドレスまたはホスト名を指定します。 |
B |
SNMPプロトコルバージョン |
SNMPプロトコルは、CX Cloud Agentによって必要とされ、お客様のネットワーク内でのデバイス検出に使用されます。値にはsnmpv2cまたはsnmpv3を使用できますが、セキュリティ上の考慮事項から、snmpv3の使用が推奨されます。 |
C |
snmpRo:col#=3が「snmpv2c」として選択されている場合は必須 |
特定のデバイスに対して従来のSNMPv2バリアントを選択した場合は、デバイスのSNMPコレクションに対してsnmpRO(読み取り専用)クレデンシャルを指定する必要があります。それ以外の場合は、空白を入力できます。 |
D |
snmpv3UserName:col#=3が「snmpv3」として選択されている場合は必須 |
特定のデバイスとの通信にSNMPv3を選択した場合は、それぞれのログインユーザ名を指定する必要があります。 |
E |
snmpv3AuthAlgorithm:値はMD5またはSHAにすることができます |
SNMPv3プロトコルは、MD5またはSHAアルゴリズムによる認証を許可します。デバイスにセキュア認証が設定されている場合、それぞれの認証アルゴリズムを指定する必要があります。 注:MD5は安全でないと見なされており、SHAはサポートしているすべてのデバイスで使用できます。 |
F |
snmpv3AuthPassword:パスワード |
デバイスにMD5またはSHA暗号化アルゴリズムが設定されている場合は、デバイスアクセス用に関連する認証パスワードを指定する必要があります。 |
G |
snmpv3PrivAlgorithm:値はDES、3DES |
デバイスにSNMPv3プライバシーアルゴリズムが設定されている場合(このアルゴリズムは応答の暗号化に使用されます)、それぞれのアルゴリズムを指定する必要があります。 注:DESで使用される56ビットキーは、暗号化セキュリティを提供するには短すぎるとみなされ、3DESは、これをサポートするすべてのデバイスで使用できます。 |
H |
snmpv3PrivPassword:パスワード |
デバイスでSNMPv3プライバシーアルゴリズムが設定されている場合は、デバイス接続に対応するプライバシーパスワードを提供する必要があります。 |
I |
snmpv3EngineId:engineID、デバイスを表す一意のID、デバイスで手動で設定されている場合はエンジンIDを指定 |
SNMPv3 EngineIDは、各デバイスを表す一意のIDです。このエンジンIDは、CX Cloud AgentがSNMPデータセットを収集する際に参照として送信されます。お客様がEngineIDを手動で設定する場合は、それぞれのEngineIDを指定する必要があります。 |
J |
cliProtocol:値は'telnet'、'sshv1'、'sshv2'です。空の場合は、デフォルトで'sshv2'に設定できます |
CLIは、デバイスと直接やり取りすることを目的としています。CX Cloud Agentは、特定のデバイスのCLI収集にこのプロトコルを使用します。このCLI収集データは、CX Cloud内のAssetsおよびその他のInsightsレポートに使用されます。SSHv2が推奨されます。他のネットワークセキュリティ対策がない場合、それ自体では、SSHv1およびTelnetプロトコルは適切なトランスポートセキュリティを提供しません。 |
K |
cliPort:CLIプロトコルポート番号 |
CLIプロトコルを選択する場合は、それぞれのポート番号を指定する必要があります。たとえば、SSHの場合は22、Telnetの場合は23です。 |
起 |
cliUser:CLIユーザ名(CLIユーザ名/パスワードまたはBOTHのいずれかを指定できますが、両方のカラム(col#=12およびcol#=13)を空にすることはできません)。 |
デバイスのそれぞれのCLIユーザ名を指定する必要があります。これは、CLI収集時にデバイスに接続するときにCX Cloud Agentによって使用されます。 |
M |
cliPassword:CLIユーザパスワード(CLIユーザ名/パスワードまたはBOTHのいずれかを指定できますが、両方のカラム(col#=12およびcol#=13)を空にすることはできません)。 |
デバイスの各CLIパスワードを入力する必要があります。これは、CLI収集時にデバイスに接続するときにCX Cloud Agentによって使用されます。 |
N |
cliEnableUser |
デバイスでenableが設定されている場合は、デバイスのenableUsername値を指定する必要があります。 |
O |
cliEnablePassword |
デバイスでenableが設定されている場合、デバイスのenablePassword値を指定する必要があります。 |
P |
将来のサポート(入力は不要) |
将来の使用のために予約済み |
Q |
将来のサポート(入力は不要) |
将来の使用のために予約済み |
R |
将来のサポート(入力は不要) |
将来の使用のために予約済み |
S |
将来のサポート(入力は不要) |
将来の使用のために予約済み |
新規シードファイルを使用して他のアセットを追加するには:
注:CX Cloudの初期設定が完了する前に、CX Cloud Agentはシードファイルを処理し、特定されたすべてのデバイスとの接続を確立して、最初のテレメトリコレクションを実行する必要があります。収集は、オンデマンドで開始することも、ここで定義したスケジュールに従って実行することもできます。ユーザーは、[最初のコレクションを今すぐ実行する]チェックボックスをオンにして、最初のテレメトリ接続を実行できます。シードファイルで指定されているエントリの数やその他の要因によっては、このプロセスにかなりの時間がかかる場合があります。
現在のシードファイルを使用してデバイスを追加、変更、または削除するには、次の手順を実行します。
注:シードファイルにアセットを追加するには、以前に作成したシードファイルにアセットを追加し、ファイルをリロードします。新しいシードファイルをアップロードすると現在のシードファイルが置き換えられるため、これが必要になります。検出と収集には、アップロードされた最新のシードファイルのみが使用されます。
IP範囲を使用すると、ユーザはハードウェア資産を特定し、その後IPアドレスに基づいてそれらのデバイスからテレメトリを収集できます。テレメトリ収集用のデバイスは、1つのネットワークレベルのIP範囲を指定することで一意に識別できます。この範囲は、CX Cloud AgentがSNMPプロトコルを使用してスキャンできます。直接接続されたデバイスを識別するためにIP範囲を選択する場合、参照されるIPアドレスは可能な限り制限され、必要なすべての資産をカバーできます。
CX Cloud Agentはデバイスへの接続を試みますが、PIDまたはシリアル番号を特定できない場合、それぞれがAssetsビューに表示されるように処理できない可能性があります。
注:
Edit IP Address Rangeをクリックすると、オンデマンドデバイス検出が開始されます。新しいデバイスを特定のIP範囲に追加または削除(内外)する場合は、必ずEdit IP Address Range(IPアドレス範囲の編集)をクリックし(「IP範囲の編集」の項を参照)、オンデマンドでのデバイスディスカバリを開始するために必要な手順を実行して、新しく追加されたデバイスをCX Cloud Agentの収集インベントリに含める必要があります。
IP範囲を使用してデバイスを追加するには、ユーザが設定UIを使用して適用可能なすべてのクレデンシャルを指定する必要があります。表示されるフィールドは、前のウィンドウで選択したプロトコルによって異なります。SNMPv2cとSNMPv3の両方を選択したり、SSHv2とSSHv1の両方を選択するなど、同じプロトコルを複数選択すると、個々のデバイスの機能に基づいて、CX Cloud Agentによって自動的にプロトコルの選択がネゴシエートされます。
IPアドレスを使用してデバイスを接続する際は、SSHバージョンおよびTelnetクレデンシャルとともに、IP範囲内のすべての関連プロトコルが有効であることを確認する必要があります。これが有効でない場合、接続は失敗します。
IP範囲を使用してデバイスを追加するには、次の手順を実行します。
注:選択したCX Cloud Agentに別のIP範囲を追加するには、Add Another IP RangeをクリックしてSet Your Protocolウィンドウに戻り、このセクションの手順を繰り返します。
IP範囲を編集するには、次の手順に従います。
6. 必要に応じて詳細を編集し、Complete Setupをクリックします。Data Sourcesウィンドウが開き、新しく追加したIPアドレス範囲の追加を確認するメッセージが表示されます。
注:この確認メッセージでは、変更された範囲内のデバイスが到達可能かどうか、またはそのクレデンシャルが受け入れられるかどうかは確認されません。この確認は、お客様がディスカバリプロセスを開始すると行われます。
.
IP範囲を削除するには、次の手順に従います。
一部のデバイスは、Cisco Catalyst CenterとCX Cloud Agentへの直接接続の両方で検出され、それらのデバイスから重複データが収集される可能性があります。重複データの収集を避け、1つのコントローラだけでデバイスを管理するには、CX Cloud Agentがデバイスを管理する優先順位を決定する必要があります。
お客様は、CX Cloudでオンデマンドの診断スキャンをスケジュールできます。
注:診断スキャンをスケジュールするか、インベントリ収集スケジュールとは少なくとも6 ~ 7時間の間隔を空けてオンデマンドスキャンを開始して、重複しないようにすることをお勧めします。複数の診断スキャンを同時に実行すると、スキャンプロセスが遅くなり、スキャンが失敗する可能性があります。
診断スキャンをスケジュールする手順は、次のとおりです。
診断スキャンとインベントリ収集のスケジュールは、[データ収集]ページで編集および削除できます。
VMのアップグレード後は、次の操作を実行できません。
VMをアップグレードする前に、障害発生時のリカバリのためにスナップショットを作成することを推奨します。詳細については、『CX Cloud VMのバックアップと復元』を参照してください。
既存のVMware vSphere Thick Clientを使用してVM設定をアップグレードするには、次の手順を実行します。
注:設定の変更が完了するまでに約5分かかります。
WebクライアントESXi v6.0を使用してVM構成を更新するには、次の手順を実行します。
WebクライアントvCenterを使用してVM設定を更新するには、次の手順を実行します。
CX Cloud Agentを導入するには、次のいずれかのオプションを選択します。
このクライアントでは、vSphereシッククライアントを使用してCX Cloud Agent OVAを導入できます。
導入には数分かかる場合があります。展開が成功すると、確認の表示が行われます。
このクライアントは、vSphere Webを使用してCX Cloud Agent OVAを導入します。
次の手順を実行します。
このクライアントは、Oracle Virtual Boxを介してCX Cloud Agent OVAを導入します。
次の手順を実行します。
Auto Generate Passwordを選択した場合は、生成されたパスワードをコピーし、後で使用するために保存します。[パスワードの保存(Save Password)] をクリックして手順 4 に進みます。
注:ドメインに正常に到達できない場合、顧客はドメインが到達可能であることを確認するためにファイアウォールを変更して、ドメインの到達可能性を修正する必要があります。ドメインの到達可能性の問題を解決したら、Check Againをクリックします。
注:ペアリングコードの有効期限が切れている場合は、CX Cloudに登録するをクリックして新しいペアリングコードを生成します(ステップ13)。
15. OKをクリックします。
ユーザは、CLIオプションを使用してペアリングコードを生成することもできます。
CLIを使用してペアリングコードを生成するには、次の手順に従います。
サポートされるCisco Catalyst Centerのバージョンは、2.1.2.0から2.2.3.5、2.3.3.4から2.3.3.6、2.3.5.0、およびCisco Catalyst Center仮想アプライアンスです
Cisco Catalyst CenterでCX Cloud AgentへのSyslog転送を設定するには、次の手順を実行します。
注:設定が完了すると、そのサイトに関連付けられているすべてのデバイスが、CX Cloud Agentに対してレベルcriticalでsyslogを送信するように設定されます。デバイスからCX Cloud Agentへのsyslog転送を有効にするには、デバイスをサイトに関連付ける必要があります。 syslogサーバの設定が更新されると、そのサイトに関連付けられたすべてのデバイスがデフォルトの重大レベルに自動的に設定されます。
CX CloudのFault Management機能を使用するには、CX Cloud Agentにsyslogメッセージを送信するようにデバイスを設定する必要があります。
注:syslogを転送するように他のアセットを設定できるのは、Campus Success Trackレベル2のデバイスだけです。
syslogサーバソフトウェアの設定手順を実行し、CX CloudエージェントのIPアドレスを新しい宛先として追加します。
注:syslogを転送するときは、元のsyslogメッセージの送信元IPアドレスが保持されていることを確認してください。
syslogをCX Cloud AgentのIPアドレスに直接送信するように各デバイスを設定します。特定の設定手順については、次のドキュメントを参照してください。
AireOSワイヤレスコントローラコンフィギュレーションガイド
Syslog情報レベルを表示するには、次の手順を実行します。
必要なサイトを選択し、Device nameチェックボックスを使用してすべてのデバイスを選択します。
スナップショット機能を使用して、CX Cloud Agent VMの状態とデータを特定の時点で保持することを推奨します。この機能により、CX Cloud VMをスナップショットが作成された特定の時刻に簡単に復元できます。
CX Cloud VMをバックアップするには、次の手順を実行します。
注: [仮想マシンのメモリのスナップショットを作成する]チェックボックスがオフになっていることを確認します。
3. OKをクリックします。[最近のタスク]の一覧で、[仮想マシンスナップショットの作成]ステータスが[完了]と表示されます。
CX Cloud VMを復元するには、次の手順を実行します。
CX Cloud Agentは、エンドツーエンドセキュリティをお客様に保証します。CX CloudとCX Cloud Agent間の接続はTLSで保護されます。Cloud AgentのデフォルトのSSHユーザは、基本操作のみを実行するように制限されています。
CX Cloud Agent OVAイメージを、セキュリティ保護されたVMwareサーバ会社に導入します。OVA は、シスコ ソフトウェア ダウンロード センターを通じて安全に共有されます。ブートローダー(シングルユーザーモード)には、一意のパスワードがランダムに設定されます。このブートローダ(シングルユーザモード)パスワードを設定するには、ユーザはこのFAQを参照する必要があります。
導入時に、cxcadminユーザアカウントが作成されます。初期設定時にパスワードを設定する必要があります。cxcadminユーザ/クレデンシャルは、CX Cloud Agent APIの両方にアクセスし、SSH経由でアプライアンスに接続するために使用されます。
cxcadminユーザは、最小限の権限でアクセスが制限されています。cxcadminパスワードはセキュリティ・ポリシーに従い、90日間の期限切れで一方向ハッシュされます。cxcadminユーザーは、remoteaccountというユーティリティを使用してcxcrootユーザーを作成できます。cxcrootユーザーはroot権限を取得できます。
CX Cloud Agent VMには、cxcadminユーザクレデンシャルを使用してSSHを使用してアクセスできます。着信ポートは 22(SSH)、514(Syslog)に制限されます。
パスワードベースの認証:アプライアンスは、単一のユーザ(cxcadmin)を管理します。このユーザは、このユーザを使用してCX Cloud Agentの認証と通信を実行できます。
cxcadminユーザは、remoteaccountというユーティリティを使用してcxcrootユーザを作成できます。このユーティリティは、SWIMポータル(DECRYPT Request Form)からのみ復号できる、RSA/ECB/PKCS1v1_5暗号化パスワードを表示します。このポータルへのアクセス権を持つのは、承認されたユーザーのみです。cxcrootユーザーは、この復号化されたパスワードを使用してルート権限を取得できます。パスフレーズは2日間だけ有効です。cxcadminユーザは、パスワードの有効期限が切れた後にアカウントを再作成し、SWIMポータルからパスワードを取得する必要があります。
CX Cloud Agentアプライアンスは、Center of Internet Securityの強化標準に準拠しています。
CX Cloud Agent アプライアンスには、お客様の個人情報は保存されません。 デバイスクレデンシャルアプリケーション(ポッドの1つとして実行)は、暗号化されたサーバクレデンシャルをセキュアなデータベース内に保存します。収集されたデータは、処理時以外は一時的にアプライアンス内に保存されません。テレメトリデータは、収集が完了するとすぐにCX Cloudにアップロードされ、アップロードが成功したことを確認した後、ローカルストレージからすぐに削除されます。
登録パッケージには、Iot Coreとのセキュアな接続を確立するために必要な、一意のX.509デバイス証明書とキーが含まれています。このエージェントを使用して、Transport Layer Security(TLS)v1.2上でメッセージキューテレメトリトランスポート(MQTT)を使用してセキュアな接続を確立します
ログには、個人識別情報(PII)データの形式は含まれません。監査ログには、CX Cloud Agentアプライアンスで実行されたセキュリティの影響を受けるすべてのアクションが記録されます。
CX Cloudは、「シスコテレメトリコマンド」に記載されているAPIおよびコマンドを使用して、資産テレメトリを取得します。このドキュメントでは、Cisco Catalyst Centerインベントリ、Diagnostic Bridge、Intersight、Compliance Insights、Faults、およびCX Cloud Agentによって収集されたその他すべてのテレメトリ源への適用可能性に基づいてコマンドを分類しています。
資産テレメトリ内の機密情報は、クラウドに送信される前にマスクされます。CX Cloud Agentは、CX Cloud Agentにテレメトリを直接送信するすべての収集アセットの機密データをマスクします。これには、パスワード、キー、コミュニティストリング、ユーザ名などが含まれます。コントローラは、すべてのコントローラ管理アセットのデータマスキングを行ってから、この情報をCX Cloud Agentに転送します。場合によっては、コントローラ管理資産のテレメトリをさらに匿名化できます。テレメトリの匿名化の詳細については、対応する製品サポートドキュメント(たとえば、『Cisco Catalyst Center管理者ガイド』の「データの匿名化」セクション)を参照してください。
テレメトリコマンドのリストはカスタマイズできず、データマスキングルールは変更できませんが、コントローラ管理デバイスの製品サポートドキュメントまたはこのドキュメントの「データソースの接続」セクション(CX Cloud Agentが収集したその他の資産の場合)の説明に従ってデータソースを指定することで、お客様はテレメトリCX Cloudでアクセスする資産を制御できます。
セキュリティ機能 |
説明 |
ブートローダーのパスワード |
ブートローダー(シングルユーザーモード)には、一意のパスワードがランダムに設定されます。ユーザはFAQを参照して、ブートローダ(シングルユーザモード)のパスワードを設定する必要があります。 |
ユーザーアクセス |
SSH: ·cxcadmin ユーザーを使用してアプライアンスにアクセスするには、インストール時に作成されたログイン情報が必要です。 ・ cxcrootユーザを使用してアプライアンスにアクセスするには、権限のあるユーザがSWIMポータルを使用してクレデンシャルを復号化する必要があります。 |
ユーザアカウント |
・ cxcadmin:デフォルトのユーザー・アカウントが作成されます。ユーザーはcxcliを使用してCX Cloud Agentアプリケーション・コマンドを実行でき、アプライアンスに対する最小限の権限を持ちます。cxcrootユーザーとその暗号化されたパスワードはcxcadminユーザーを使用して生成されます。 ・ cxcroot: cxcadminは、ユーティリティremoteaccountを使用してこのユーザーを作成できます。ユーザーは、このアカウントでルート権限を取得できます。 |
cxcadmin パスワードポリシー |
·パスワードは SHA-256 を使用して一方向ハッシュされ、安全に保存されます。 ・ 大文字、小文字、数字、特殊文字のうち3種類を含む、8文字以上。 |
cxcroot パスワードポリシー |
・ cxcrootのパスワードはRSA/ECB/PKCS1v1_5で暗号化 ·生成されたパスフレーズは、SWIM ポータルで復号する必要があります。 ・ cxcrootのユーザとパスワードは2日間有効で、cxcadminユーザを使用して再生成できます。 |
ssh ログインパスワードポリシー |
・ 8文字以上で、大文字、小文字、数字、特殊文字の3つのカテゴリを含む。 ・ ログイン試行に5回失敗すると、ボックスが30分間ロックされます。パスワードの有効期限は90日です。 |
ポート |
オープンな着信ポート - 514(Syslog)と 22(SSH) |
データセキュリティ |
·顧客情報は保存されません。 ·デバイスデータは保存されません。 ・ Cisco Catalyst Centerサーバのクレデンシャルが暗号化され、データベースに保存されます。 |
改定 | 発行日 | コメント |
---|---|---|
2.0 |
26-Sep-2024 |
Cisco DNA Centerの名称変更をCisco Catalyst Centerに反映するようドキュメントを更新。 |
1.0 |
25-Jul-2024 |
初版 |