Desplegar Cyberwatch conforme a la CCN-STIC 807
La guía CCN-STIC 807 (Criptología de empleo en el Esquema Nacional de Seguridad), publicada por el Centro Criptológico Nacional (CCN) español, define los requisitos criptográficos aplicables a las organizaciones sujetas al Esquema Nacional de Seguridad (ENS). Impone en particular el uso de protocolos criptográficos de última generación (TLS 1.3) y el control de los componentes desplegados.
Esta página describe las adaptaciones que deben aplicarse al despliegue de Cyberwatch para cumplir estos requisitos. Complementa el despliegue estándar con Swarm y la página Desplegar Cyberwatch en un entorno endurecido.
Las recomendaciones de esta página se aplican únicamente a las organizaciones efectivamente sujetas a la CCN-STIC 807. No son necesarias para un despliegue estándar y pueden complicar inútilmente la instalación en los demás contextos.
1. Desactivación de Elasticsearch y Kibana integrados
Por defecto, Cyberwatch incluye sus propias instancias de Elasticsearch y Kibana. En un entorno sujeto a la CCN-STIC 807, estos contenedores integrados deben desactivarse, ya que su configuración criptográfica no está controlada por la organización.
Siga el procedimiento Desactivación de los contenedores integrados (marca CBW_DISABLE_ELK), documentado para Docker Swarm, Podman y el chart de Helm.
Si las funcionalidades que dependen de Elasticsearch y Kibana siguen siendo necesarias, es posible conectar Cyberwatch a un Elastic Stack desplegado internamente y configurado conforme a su política de seguridad. El procedimiento de configuración de un Elastic Stack externo describe los ajustes necesarios (URL, autenticación, certificado CA, método de verificación TLS).
2. Descarga del paquete Cyberwatch mediante TLS 1.3
El despliegue estándar añade el repositorio de Cyberwatch y luego instala el paquete mediante el gestor de paquetes de la distribución (apt, dnf).
Según el sistema operativo, el cliente TLS del gestor de paquetes no siempre dispone de los requisitos necesarios (negociación de TLS 1.3) para ser conforme a la CCN-STIC 807. En ese caso, no configure el repositorio de Cyberwatch: descargue el paquete manualmente con curl, forzando TLS 1.3, y luego instálelo localmente.
Recupere los paquetes cyberwatch y cosign correspondientes a su distribución forzando TLS 1.3 con las opciones --tlsv1.3 --tls-max 1.3:
La instalación del paquete Cyberwatch puede requerir la incorporación de dependencias que aún no estén presentes en el sistema, como docker, logrotate, openssl, bash-completion o curl, por ejemplo. Convendrá instalarlas a partir de los repositorios de la distribución correspondiente.
Para las distribuciones basadas en Debian (repositorio apt):
# El nombre exacto del paquete cosign (con versión) es visible en https://dl.cyberwatch.com/apt/incoming/
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/apt/incoming/cyberwatch.deb
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/apt/incoming/cosign_<version>.deb
sudo dpkg -i cosign*.deb
sudo dpkg -i cyberwatch.deb
Para las distribuciones basadas en Red Hat (repositorio rpm):
# El nombre exacto del paquete cosign (con versión) es visible en https://dl.cyberwatch.com/rpm/incoming/
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/rpm/incoming/cyberwatch.rpm
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/rpm/incoming/cosign-<version>.rpm
sudo rpm -i cosign*.rpm
sudo rpm -i cyberwatch.rpm
3. Importación de las imágenes de contenedores mediante docker load
A continuación, la instalación descarga las imágenes de contenedores desde el registro de Cyberwatch (harbor.cyberwatch.fr) mediante el demonio Docker.
El cliente TLS del demonio Docker oficial no es actualmente conforme a la CCN-STIC 807. Por lo tanto, no debe utilizarse para recuperar las imágenes. En su lugar, descargue el archivo de imágenes desde dl.cyberwatch.com (en TLS 1.3) y luego impórtelas localmente con docker load.
Siga el procedimiento Descargar e importar las imágenes de contenedores, asegurándose de forzar TLS 1.3 en la descarga con curl:
export CBW_USER=
export CBW_PASSWORD=
curl --tlsv1.3 --tls-max 1.3 -u "$CBW_USER:$CBW_PASSWORD" -JLO https://dl.cyberwatch.com/download_images
docker image load -i images_cbwonpremise_*.tar.gz
Desactive la descarga de las imágenes configurando la variable CBW_NO_PULL="true" en el archivo /etc/cyberwatch/config.env.
Como las imágenes están presentes en la caché local, el demonio Docker no necesita recuperarlas desde el registro durante la configuración.
4. Configuración de Cyberwatch
Una vez instalado el paquete, importadas las imágenes y desactivado el ELK, configure la aplicación:
sudo cyberwatch configure
A continuación, prosiga con el asistente de instalación tal como se describe en el despliegue estándar con Swarm.
Esta página cubre el despliegue recomendado con Docker Swarm. Los mismos principios se aplican a los despliegues con Podman: la desactivación del ELK está documentada, y la importación manual de las imágenes en TLS 1.3 sigue la misma lógica (podman image load, imágenes precargadas en el registro del clúster). Del mismo modo, para Kubernetes es necesario configurar global.image.pullPolicy: Never en el values.yml y cargar las imágenes según el motor de almacenamiento de imágenes asociado al clúster de Kubernetes. Esto solo es necesario cuando la descarga de las imágenes no cumple los requisitos relativos a TLS 1.3.
Soporte técnico
Para cualquier cuestión relativa a un despliegue sujeto a la CCN-STIC 807, contacte con el soporte de Cyberwatch:
- por correo electrónico en support@cyberwatch.com
- por teléfono al +33 1 84 80 88 84